Nome del virus:Worm/RBo.20480.12.A
Scoperto:05/05/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:20.480 Byte
Somma di controllo MD5:0A9b70150A5b4de8895b459776580Dc6
Versione VDF:7.0.04.017
Versione IVDF:7.0.04.018

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Mondera.gen


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Scarica un file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\msninbox.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • MSN Messenger Inbox Loader="msninbox.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: nagasaki.japancorporation.**********
Porta: 9103
Password del server: su1c1d3
Canale: #net
Nickname: \00\USA\%stringa di 10 caratteri casuali%
Password: n3t!



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • ID della piattaforma
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Download di file
    • Modificare il registro
    • Eseguire file
    • Abbandonare il canale IRC
    • Visitare un sito web

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • 127.0.0.1 jayloden.com; 127.0.0.1 www.jayloden.com;
      127.0.0.1 www.spywareinfo.com; 127.0.0.1 spywareinfo.com;
      127.0.0.1 www.spybot.info; 127.0.0.1 spybot.info;
      127.0.0.1 kaspersky.com; 127.0.0.1 kaspersky-labs.com;
      127.0.0.1 www.kaspersky.com; 127.0.0.1 www.majorgeeks.com;
      127.0.0.1 majorgeeks.com; 127.0.0.1 securityresponse.symantec.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.symantec.com;
      127.0.0.1 updates.symantec.com;
      127.0.0.1 liveupdate.symantecliveupdate.com;
      127.0.0.1 liveupdate.symantec.com; 127.0.0.1 customer.symantec.com;
      127.0.0.1 update.symantec.com; 127.0.0.1 www.sophos.com;
      127.0.0.1 sophos.com; 127.0.0.1 www.virustotal.com;
      127.0.0.1 virustotal.com; 127.0.0.1 www.mcafee.com;
      127.0.0.1 mcafee.com; 127.0.0.1 rads.mcafee.com;
      127.0.0.1 mast.mcafee.com; 127.0.0.1 download.mcafee.com;
      127.0.0.1 dispatch.mcafee.com; 127.0.0.1 us.mcafee.com;
      127.0.0.1 www.trendsecure.com; 127.0.0.1 trendsecure.com;
      127.0.0.1 www.viruslist.com; 127.0.0.1 viruslist.com;
      127.0.0.1 www.hijackthis.de; 127.0.0.1 hijackthis.de;
      127.0.0.1 f-secure.com; 127.0.0.1 www.f-secure.com;
      127.0.0.1 Merijn.org; 127.0.0.1 www.Merijn.org; 127.0.0.1 www.avp.com;
      127.0.0.1 avp.com; 127.0.0.1 analysis.seclab.tuwien.ac.at;
      127.0.0.1 www.bleepingcomputer.com; 127.0.0.1 bleepingcomputer.com;
      127.0.0.1 trendmicro.com; 127.0.0.1 www.trendmicro.com;
      127.0.0.1 www.safer-networking.org; 127.0.0.1 safer-networking.org;
      127.0.0.1 grisoft.com; 127.0.0.1 www.grisoft.com




L'host del file modificato sarà del tipo:


 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • Explorer.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Monica Ghitun su giovedì 7 agosto 2008
Descrizione aggiornata da Monica Ghitun su giovedì 7 agosto 2008

Indietro . . . .