Nome del virus:Worm/Pushbot.7577
Scoperto:24/09/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:75.776 Byte
Somma di controllo MD5:eea6cee9d7cb77adfc9ff7a544220d9c
Versione IVDF:7.01.06.31 - giovedì 24 settembre 2009

 Generale Metodo di propagazione:
• Autorun feature (it)


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\iexplorer7.exe
   • %unità disco%\RECYCLER\%CLSID%\sysmngr32.exe



Vengono creati i seguenti file:

%WINDIR%\log32.txt
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\RECYCLER\%CLSID%\Desktop.ini



Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://www.pr0.net/deny2/**********
   • http://www.sevy.eu.org/**********
   • http://www.proxysecurity.com/**********
   • http://www.proxy-heaven.com/**********
   • http://www.pr0.net/deny2/**********
   • http://www.cooleasy.com/**********
   • http://www.belgarion.com/images/**********
   • http://proxywoorld.ovh.org/**********
   • http://proxyworld.ifrance.com/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Driver Setup"="%WINDIR%\iexplorer7.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Driver Setup"="%WINDIR%\iexplorer7.exe"



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Nuovo valore:
   • "EnableFirewall"=dword:0x00000000

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– MSN Messenger


A:
Tutti i dati immessi nella lista dei contatti.

 “Infezione” della rete Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-039 (Buffer Overrun in RPCSS Service)
MS06-040 (Vulnerability in Server Service)

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: login.i**********.org.uk
Porta: 47221
Canale: #e10
Nickname: [N00_USA_XP_%numero%]%stringa di caratteri casuale%

Server: login.i**********.co.uk
Porta: 47221
Canale: #e10
Nickname: [N00_USA_XP_%numero%]%stringa di caratteri casuale%

Server: login.in**********.com
Porta: 47221
Canale: #e10
Nickname: [N00_USA_XP_%numero%]%stringa di caratteri casuale%

Server: myip.wo**********.net
Porta: 47221
Canale: #e10
Nickname: [N00_USA_XP_%numero%]%stringa di caratteri casuale%

Server: ip.w**********.com
Porta: 47221
Canale: #e10
Nickname: [N00_USA_XP_%numero%]%stringa di caratteri casuale%


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Effettuare scansione della rete
    • Aggiornarsi

 Processi terminati Lista dei processi che vengono terminati:
   • VIPRE.EXE; ISSDM_EN_32.EXE; P08PROMO.EXE; K7TS_SETUP.EXE;
      AVINSTALL.EXE; WITSETUP.EXE; TrendMicro_TISPro_16.1_1063_x32.EXE;
      VBA32-PERSONAL-LATEST-ENGLISH.EXE; CCSETUP210.EXE; FSMB32.EXE;
      FSGK32.EXE; FSAV95.EXE; FSAV530WTBYB.EXE; FSAV530STBYB.EXE;
      FSAV32.EXE; FSAV.EXE; FSAA.EXE; FPROT.EXE; FP-WIN.EXE; FNRB32.EXE;
      FIH32.EXE; FCH32.EXE; FAST.EXE; FAMEH32.EXE; F-STOPW.EXE;
      F-PROT95.EXE; F-PROT.EXE; AFMAIN.EXE; SPIDERUI.EXE; SPIDERNT.EXE;
      ALERTMAN.EXE; RAVMOND.EXE; MAKEREPORT.EXE; BOXMOD.EXE; 360SAFE.EXE;
      360RPT.EXE; 360HOTFIX.EXE; 360TRAY.EXE; NSVMON.NPC; NSAVSVC.NPC;
      NPCGREENAGENT.NPC; PUSCAN.EXE; AYSERVICENT.AYE; AYAGENT.AYE;
      CMDAGENT.EXE; CPF.EXE; VSMON.EXE; ZLCLIENT.EXE; NSUTILITY.EXE;
      NSPUPDT.EXE; NAVQSCAN.EXE; NSPMAIN.EXE; NSPUPSVC.EXE; NSPSVC.EXE;
      MKSADMINCONSOLE.EXE; MKSUPDATE.EXE; MKSPC.EXE; MKSFWALL.EXE;
      MKSVIRMONSVC.EXE; MKS_SCAN.EXE; MKS_MAIL.EXE; MKSREGMON.EXE;
      KAVPFW.EXE; KASMAIN.EXE; KAV32.EXE; KPFWSVC.EXE; KISSVC.EXE;
      KWATCH.EXE; KPFW32.EXE; KAVSTART.EXE; KVSRVXP.EXE; KVOL.EXE; KVXP.KXP;
      KVMONXP.KXP; CAVASM.EXE; CMAIN.EXE; ARCABIT.CORE.LOGGINGSERVICE.EXE;
      ARCABIT.CORE.CONFIGURATOR2.EXE; TASKSCHEDULER.EXE; UPDATE.EXE;
      NETMONSV.EXE; FILEMONSV.EXE; ABREGMON.EXE.EXE; ARCACHECK.EXE;
      ARCAVIR.EXE; AVMENU.EXE; A2HIJACKFREE.EXE; A2SERVICE.EXE; A2START.EXE;
      A2SCAN.EXE; A2GUARD.EXE; VRFWSVC.EXE; HFACSVC.EXE; VRMONSVC.EXE;
      HPCSVC.EXE; HSVCMOD.EXE; VRMONNT.EXE; MKSTRAY.EXE; VBA32ADS.EXE;
      VBA32LDR.EXE; FILELOCKSETUP.EXE; TSCFCOMMANDER.EXE; TMPROXY.EXE;
      TMPFW.EXE; TMBMSRV.EXE; UFNAVI.EXE; UFSEAGNT.EXE; TISSPWIZ.EXE;
      SFCTLCOM.EXE; TNBUTIL.EXE; DEFWATCH.EXE; RTVSCAN.EXE; SBAMSVC.EXE;
      SBAMUI.EXE; SBAMTRAY.EXE; SAVADMINSERVICE.EXE; SAVSERVICE.EXE;
      SCFSERVICE.EXE; SCFMANAGER.EXE; RAVTASK.EXE; CCENTER.EXE; ULIBCFG.EXE;
      RAVLITE.EXE; PCTAV.EXE; PCTAVSVC.EXE; PXCONSOLE.EXE; PXAGENT.EXE;
      RAV.EXE; PCTSAUXS.EXE; PCTSTRAY.EXE; PCTSSVC.EXE; PCTSGUI.EXE;
      AVGAS.EXE; PAVBCKPT.EXE; WEBPROXY.EXE; PAVSRV51.EXESRVLOAD.EXE;
      PSIMSVC.EXE; PSHOST.EXE; AVENGINE.EXE; PSKMSSVC.EXE; PAVPRSRV.EXE;
      PAVFNSVR.EXE; PSCTRLS.EXE; TPSRV.EXE; NOD32M2.EXE; NOD32CC.EXE;
      NOD32.EXE; NMAIN.EXE; NOD32KUI.EXE; MSASCUI.EXE; MSMPENG.EXE;
      MCUPDATE.EXE; MCSHIELD.EXE; MCVSSHLD.EXE; MCVSRTE.EXE; MCAGENT.EXE;
      KAVSVC.EXE; KAV.EXE; K7TSMNGR.EXE; K7SPMSRC.EXE; K7RTSCAN.EXE;
      K7PSSRVC.EXE; K7FWSRVC.EXE; K7EMLPXY.EXE; K7TSECURITY.EXE;
      K7SYSTRY.EXE; VIRUSUTILITIES.EXE; GUARDXSERVICE.EXE;
      GUARDXKICKOFF.EXE; AVKWCTL.EXE; AVKTUNERSERVICE.EXE; AVKSERVICE.EXE;
      GDFWSVC.EXE; AVKPROXY.EXE; GDFIRE~1.EXE; AVKTRAY.EXE;
      GDFIREWALLTRAY.EXE; FSAUA.EXE; NOD32KRN.EXE; FSMA32.EXE; FSDFWD.EXE;
      FSGK32ST.EXE; FSM32.EXE; FPWIN.EXE; FPAVSERVER.EXE; FPROTTRAY.EXE;
      INICIO.EXE; UMXPOL.EXE; UMXFWHLP.EXE; UMXAGENT.EXE; UMXCFG.EXE;
      PPCLTPRIV.EXE; SVCPRS32.EXE; ITMRTSVC.EXE; CCPROVSP.EXE; MDMCLS32.EXE;
      CAGLOBALLIGHT.EXE; CAPFUPGRADE.EXE; CAPFASEM.EXE; CAFW.EXE;
      CFGMNG32.EXE; CCTRAY.EXE; CLAMTRAY.EXE; CLAMWIN.EXE; ALSVC.EXE;
      ALMON.EXE; DRWEBSCD.EXE; SPIDERML.EXE; DRWEB32W.EXE; ACS.EXE;
      STRTSVC.EXE; OP_MON.EXE; SENSOR.EXE; QHFW332.EXE; CATEYE.EXE;
      ONLNSVC.EXE; EMLPROUI.EXE; UPSCHD.EXE; SCANMSG.EXE; SCANWSCS.EXE;
      EMLPROXY.EXE; ONLINENT.EXE; ASWCLNR.EXE; BDAGENT.EXE; VSSERV.EXE;
      LIVESRV.EXE; XCOMMSVR.EXE; UISCAN.EXE; BDSS.EXE; AVGUI.EXE;
      AVGUPD.EXE; AVGSCANX.EXE; AVGEMC.EXE; AVGUPSVC.EXE; AVGAMSVR.EXE;
      AVGWDSVC.EXE; ASHWEBSV.EXE; ASHMAISV.EXE; ASWUPDSV.EXE; ASHSERV.EXE;
      ASHDISP.EXE; AVCENTER.EXE; SCHED.EXE; AVIRARKD.EXE; AVGNT.EXE;
      AVGUARD.EXE; AHNSDSV.EXE; ACAIS.EXE; ACALS.EXE; ACAEGMGR.EXE;
      ACAAS.EXE; QOELOADER.EXE; APVXDWIN.EXE; QUHLPSVC.EXE; 123.EXE;
      RAVP.EXEMBAM.EXE123.COM; UNLOCKER1.8.7.EXE; UNIEXTRACT.EXE;
      SYSANALYZER_SETUP.EXE; STARTDRECK.EXE; SPF.EXE; REGX2.EXE;
      REGSHOT.EXE; REGSCANNER.EXE; REGISTRAR_LITE.EXE; REGCOOL.EXE;
      REGALYZ.EXE; PROJECTWHOISINSTALLER.EXE; PROCMON.EXE; CUREIT.EXE;
      FIXBAGLE.EXE; PGSETUP.EXE; OBJMONSETUP.EXE; NETALYZ.EXE; KILLBOX.EXE;
      INSTALLWATCHPRO25.EXE; AVENGER.EXE; IEFIX.EXE; HOSTSFILEREADER.EXE;
      FIXPATH.EXE; FILEFIND.EXE; FILEALYZ.EXE; EULALYZERSETUP.EXE;
      A2HIJACKFREESETUP.EXE; DLLCOMPARE.EXE; CPROCESS.EXE; CPORTS.EXE;
      ASVIEWER.EXE; APT.EXE; APM.EXE; WIRESHARK.EXE; SPYBOTSD.EXE;
      TEATIMER.EXE; SPYBOTSD160.EXE; PROCESSMONITOR.EXE; PROCDUMP.EXE;
      PG2.EXE; LORDPE.EXE; ICESWORD.EXE; REANIMATOR.EXE; ROOTKITNO.EXE;
      RKD.EXE; HACKMON.EXE; UNHACKME.EXE; ROOTKIT_DETECTIVE.EXE;
      AVGARKT.EXE; FSB.EXE; FSBL.EXE; ROOTKITREVEALER.EXE; PSKILL.EXE;
      TASKMON.EXE; TASKLIST.EXE; TASKMAN.EXE; PROCEXP.EXE; MSNFIX.EXE;
      HIJACKTHIS_V2.EXE; HIJACKTHIS.EXE; HIJACKTHIS_SFX.EXE; HJTSETUP.EXE;
      HJTINSTALL.EXE; OLLYDBG.EXE; NETSTAT.EXE; PORTMONITOR.EXE;
      PORTDETECTIVE.EXE; FPORT.EXE; APORTS.EXE; PAVARK.EXE; DARKSPY105.EXE;
      HELIOS.EXE; ROOTKITBUSTER.EXE; ROOTALYZER.EXE; BC5CA6A.EXE; SEEM.EXE;
      DELAYDELFILE.EXE; DUBATOOL_AV_KILLER.EXE; SUPERKILLER.EXE;
      KAKASETUPV6.EXE; BUSCAREG.EXE; MSNCLEANER.EXE; SRESTORE.EXE;
      BOOTSAFE.EXE; SUPERANTISPYWARE.EXE; CCLEANER.EXE;
      REGUNLOCKER.EXETSNTEVAL.EXEXP_TASKMGRENAB.EXE; CF9409.EXE; GMER.EXE;
      CATCHME.EXE; SDFIX.EXE; COMBOFIX.EXE; SRENGPS.EXE; AUTORUNS.EXE;
      TASKKILL.EXE; REGEDIT.EXE; REG.EXE; MYPHOTOKILLER.EXE;
      KILLAUTOPLUS.EXE; FOLDERCURE.EXE; REGEDIT.SCR; REGEDIT.COM; MMC.EXE;
      TCPVIEW.EXE; LISTO.EXE; GUARD.EXE; NTVDM.EXE; COMMAND.COM;
      COMBOFIX.COM; COMBOFIX.SCR; COMBOFIX.BAT; REGMON.EXE;
      OTMOVEIT.EXEMBAM-SETUP.EXE; JAJA.EXE; AVZ.EXE; MBAM.EXE;
      MBAM-SETUP.EXE; PENCLEAN.EXE; ELISTA.EXE; HJ.EXE;
      WINDOWS-KB890930-V2.2.EXE; MRTSTUB.EXE; MRT.EXE; HIJACK-THIS.EXE;
      VIRUS.EXE; SAFEBOOTKEYREPAIR.EXEOTMOVEIT3.EXEHOSTSXPERT.EXEDAFT.EXE;
      ATF-CLEANER.EXE; COMPAQ_PROPIETARIO.EXE; SRENGLDR.EXE; HOOKANLZ.EXE


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 4 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 5 febbraio 2010

Indietro . . . .