Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Hacktool.Tcpz.A
Scoperto:22/04/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:995.328 Byte
Somma di controllo MD5:3911f7a8d09c467dbf3a05f73f0b8c7d
Versione IVDF:7.01.03.91 - mercoledì 22 aprile 2009

 Generale Alias:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\svhost.exe



Viene creato il seguente file:

%SYSDIR%\drivers\sysdrv32.sys Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Hacktool.Tcpz.A

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Infezione della rete Exploit:
Sfrutta le seguenti vulnerabilit:
– MS03-007 (Unchecked Buffer in Windows Component)
 MS04-045 (Vulnerability in WINS)
MS06-040 (Vulnerability in Server Service)

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 7.j3h**********.net
Porta: 57
Password del server: h4xg4ng
Canale: #cunt
Nickname: [00-USA-XP-%numero%]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 30 novembre 2009
Descrizione aggiornata da Petre Galan su lunedì 30 novembre 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.