Nome del virus:TR/Spy.Goldun.axt
Scoperto:12/09/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:34.931 Byte
Somma di controllo MD5:6ba40E29db8fb6f9145fde7a45708875
Versione IVDF:7.00.06.149 - venerdì 12 settembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Spy-Agent.bg trojan
   •  Kaspersky: Trojan-Spy.W32.Goldun.axt
   •  F-Secure: Trojan-Spy:W32/Goldun.RR
   •  Sophos: Troj/Meredrop-A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\k86.bin

%SYSDIR%\cabpck.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Goldun.axn

%SYSDIR%\krnlcab.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen




Prova a scaricare un file:

– La posizione è la seguente:
   • http://social-bos.biz/**********/data.php**********

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   krnlcab.sys]
   • @="Driver"



Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   cabpck]
   • DllName=hex(2):%valori esadecimali% (cabpck.dll)
   • Startup="cabpck"
   • mpersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • a950="[FA5BF78BD77A4464E]"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valori esadecimali% (system32\krnlcab.sys)
   • "DisplayName"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Enum]
   • "0"="Root\\LEGACY_KRNLCAB\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti% "="%file eseguiti% :*:Enabled:rundll32"
      



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000]
   • "Service"="krnlcab"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="krnlcab"

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Alexander Neth su venerdì 12 settembre 2008
Descrizione aggiornata da Alexander Neth su venerdì 12 settembre 2008

Indietro . . . .