Nome del virus:TR/Vilsel.ior
Scoperto:20/10/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:44.544 Byte
Somma di controllo MD5:e6bc86359946024ea7547ae8e9915e61
Versione IVDF:7.01.06.127 - martedì 20 ottobre 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Packed.Win32.Krap.ah
   •  F-Secure: Trojan-Downloader:W32/Fakerean.AG
   •  Eset: Win32/Kryptik.AVJ
   •  Bitdefender: Trojan.FakeAV.VC


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
Falsley reports malware infection or system proble (it)


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Prova a scaricare un file:

– La posizione è la seguente:
   • http://ertanue5skayert.com/**********M
Viene salvato in locale sotto: %home%\Application Data\lizkavd.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.FraudLo.osj

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mserv"="%home%\Application Data\seres.exe"
   • "svchost"="%home%\Application Data\svcst.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Nuovo valore:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valore precedente:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Nuovo valore:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • Conflicker.B Infection Alert



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Dear Microsoft Customer,
     
     Starting 18/10/2009 the 'Conficker' worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
     
     To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
     
     Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
     
     Regards,
     Microsoft Windows Agent
     2 (Hollis)
     Microsoft Windows Computer Safety Division


File allegato:
Il nome del file allegato è:
   • install.zip

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su martedì 20 ottobre 2009
Descrizione aggiornata da Philipp Wolf su martedì 20 ottobre 2009

Indietro . . . .