Nome del virus:TR/Drop.Decay.atv
Scoperto:23/10/2009
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:70.656 Byte
Somma di controllo MD5:3bd03a49f0a4ffd9220e1e1b2890663a
Versione IVDF:7.01.06.142 - venerdì 23 ottobre 2009

 Generale Metodo di propagazione:
• Autorun feature (it)


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\conmsyrtl.exe
   • %unità disco%\driver\usb\usb3.EXE



Vengono creati i seguenti file:

%unità disco%\driver\usb\Desktop.ini
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuovo valore:
   • "%directory di esecuzione del malware%\%file eseguiti%"="%directory di esecuzione del malware%\%file eseguiti%:*:Enabled:Sistema de Comm"

 P2P    Cerca le directory che contengono una delle seguenti sottostringhe:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Se riuscito, i seguenti file vengono creati:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Questi file sono copie del malware stesso.

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger
– MSN Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: ns3.metr**********.com
Porta: 6567
Password del server: pr1v4d0onl1n3r
Canale: #delawich#
Nickname: [SH|USA|00|P|%numero%]
Password: c1rc0s0leil


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS SYN
    • Download di file
    • Aggiornarsi
    • Visitare un sito web

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 3 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 5 febbraio 2010

Indietro . . . .