Nome del virus:TR/Disabler.i.50
Scoperto:13/03/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:29.377 Byte
Somma di controllo MD5:89c3f6763a379f4cf7ba0766b4798c26
Versione VDF:7.01.02.164
Versione IVDF:7.01.02.171 - venerdì 13 marzo 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-DIY
   •  Kaspersky: Trojan.Win32.Disabler.i
   •  F-Secure: Trojan.Win32.Disabler.i
   •  Eset: Win32/Disabler.I
   •  Bitdefender: Trojan.RegistryDisabler


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %home%\Start Menu\Programs\Startup\systemID.pif
   • %SYSDIR%\Flashy.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Flashy Bot="%SYSDIR%\Flashy.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions=dword:00000001



Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   Nuovo valore:
   • Start=dword:00000004

Disattiva il Regedit e il Task Manager:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • "DisableTaskMgr" = 1
   • "DisableRegistryTools" = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • HideFileExt=dword:00000001
     Hidden=dword:00000002

 Backdoor Viene aperta la seguente porta:

– net.exe sulla porta TCP 23 con lo scopo di procurarsi una condivisione remota.

 Varie Mutex:
Crea il seguente Mutex:
   • ||Flashy||

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG 2.00

Descrizione inserita da Ana Maria Niculescu su lunedì 4 maggio 2009
Descrizione aggiornata da Ana Maria Niculescu su lunedì 4 maggio 2009

Indietro . . . .