Nome del virus:TR/PCK.Krap.B.151
Scoperto:11/11/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:108.271 Byte
Somma di controllo MD5:12ae4642bb27acfcb725d1acefb901c9
Versione IVDF:7.01.00.66 - martedì 11 novembre 2008

 Generale Alias:
   •  Symantec: Trojan.Packed.NsAnti
   •  Mcafee: Generic PWS.ak trojan !!!
   •  Kaspersky: Packed.Win32.Krap.b
   •  Panda: W32/Lineage.KDO
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.Packed.39103


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %unità disco%\whi.com
   • %SYSDIR%\kamsoft.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys



Può corrompere il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\yudald.bat (116812) Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Magania.carh.1

%SYSDIR%\gasretyw0.dll (85504) Riconosciuto come: TR/Crypt.ZPACK.Gen

%SYSDIR%\olhrwef.exe (116812) Riconosciuto come: TR/PSW.Magania.carh.1

%SYSDIR%\nmdfgds0.dll (75928) Riconosciuto come: TR/Crypt.ZPACK.Gen




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://zsde4.com/xmfx/**********


– La posizione è la seguente:
   • http://ghterwa.com/xmfx/**********

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Start"=dword:0x3
   • "Type"=dword:0x1
   • "ImagePath"="\??\%SYSDIR%\drivers\cdaudio.sys"
   • "DisplayName"="AVPsys"
   • "ErrorControl"=dword:0x1



Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kamsoft"="%SYSDIR%\kamsoft.exe"
   • "cdoosoft"="%SYSDIR%\olhrwef.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="mcjhjk.v"



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x0

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:0x2
   • "ShowSuperHidden"=dword:0x0

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\gasretyw0.dll

    Nome del processo:
   • %tutti i processi in esecuzione%



–  Inserisce il seguente file in un processo: %SYSDIR%\nmdfgds0.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 15 ottobre 2009
Descrizione aggiornata da Andrei Ivanes su venerdì 16 ottobre 2009

Indietro . . . .