Nome del virus:TR/Vilsel.iop
Scoperto:15/10/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:21.504 Byte
Somma di controllo MD5:7d96ce7f588613f0343049918de70665
Versione IVDF:7.01.06.111 - giovedì 15 ottobre 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Individuazione simile:
   •  TR/Vilsel.ioq


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
Falsley reports malware infection or system proble (it)


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Prova a scaricare un file:

– La posizione è la seguente:
   • http://tsarbunerkadosa.com/x**********
Viene salvato in locale sotto: %home%\Application Data\lizkavd.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Nuovo valore:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valore precedente:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Nuovo valore:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • A new settings file %indirizzo email del ricevente% has just
      been released



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Dear user of the %dominio del destinatario% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %indirizzo email del ricevente% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %dominio del destinatario% Technical Support.


File allegato:
Il nome del file allegato è:
   • install.zip

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su giovedì 15 ottobre 2009
Descrizione aggiornata da Thomas Wegele su giovedì 15 ottobre 2009

Indietro . . . .