Nome del virus:TR/Vundo.NV
Scoperto:16/12/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:No
Versione IVDF:7.01.00.238 - martedì 16 dicembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Grisoft: Vundo.CL


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

– File “non maligni”:
   • %directory di esecuzione del malware%\%stringa di caratteri casuale%.ini
   • %directory di esecuzione del malware%\%stringa di caratteri casuale%.ini2




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://85.17.166.232/**********/index.dll
Viene salvato in locale sotto: %TEMPDIR%\%stringa di caratteri casuale%.dll Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Vundo.NU


– La posizione è la seguente:
   • http://89.188.16.46/**********/zc113432.dll
Viene salvato in locale sotto: %TEMPDIR%\%stringa di caratteri casuale%.dll Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Vundo.NT

 Registro Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}]


Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}\InprocServer32]
   • @="%directory di esecuzione del malware%\\%dll del malware%"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\%numero esadecimale%]
   • "Version"="%risorse internet utilizzate dal malware%"

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andreas Feuerstein su martedì 16 dicembre 2008
Descrizione aggiornata da Andreas Feuerstein su martedì 16 dicembre 2008

Indietro . . . .