Nume:TR/Vilsel.iop
Descoperit pe data de:15/10/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:21.504 Bytes
MD5:7d96ce7f588613f0343049918de70665
Versiune IVDF:7.01.06.111 - giovedì 15 ottobre 2009

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Detectii similare:
   •  TR/Vilsel.ioq


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
Raporteaza probleme de sistem sau infectii malware inexistente si se ofera sa le repare daca utilizatorul cumpara aplicatia.


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://tsarbunerkadosa.com/x**********
Fisierul este stocat pe hard disc la: %home%\Application Data\lizkavd.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.XPACK.Gen

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Noua valoare:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Reduce setarile de securitate din Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Vechea valoare:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Noua valoare:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • A new settings file %adresa destinatarului% has just been
      released



Corpul email-ului:
Corpul email-ului este:

   • Dear user of the %domeniul destinatarului% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %adresa destinatarului% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %domeniul destinatarului% Technical Support.


Atasament:
Numele fisierului atasat este urmatorul:
   • install.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Thomas Wegele su giovedì 15 ottobre 2009
Descrizione aggiornata da Thomas Wegele su giovedì 15 ottobre 2009

Indietro . . . .