Nome del virus:Worm/Merond.O
Scoperto:22/02/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:251.904 Byte
Somma di controllo MD5:30798de49cea5c4a60998f60447e8576
Versione IVDF:7.10.04.122 - lunedì 22 febbraio 2010

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Panda: W32/Sinowal.WUH
   •  Eset: Win32/Merond.O
   •  Bitdefender: Worm.Generic.83963


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\jushed.exe
   • %SYSDIR%\sdra64.exe



Vengono creati i seguenti file:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\javaz.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%SYSDIR%\lowsec\user.ds.lll



Prova ad eseguire il seguente file:

– Nome del file:
   • "%SYSDIR%\javaz.exe"

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched12"="%SYSDIR%\jushed.exe"



I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\jushed.exe"="%SYSDIR%\jushed.exe:*:Enabled:Explorer"



Vengono aggiunte le seguenti chiavi di registro:

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "stinkinsun"="04"
   • "trashjava"="22"

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Nuovo valore:
   • "WMAFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Nuovo valore:
   • "avifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Nuovo valore:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Nuovo valore:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Nuovo valore:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Nuovo valore:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Nuovo valore:
   • "CompressedFolder"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Nuovo valore:
   • "wrifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Nuovo valore:
   • "emffile"=""

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • invitations@hi5.com
   • invitations@twitter.com


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Jessica would like to be your friend on hi5!
   • Your friend invited you to twitter!



Corpo dell'email:
– Contiene codice HTML.


File allegato:
Il nome del file allegato è:
   • Invitation Card.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: javaz.exe

    Nome del processo:
   • winlogon.exe



–  Inserisce il seguente file in un processo: winlogon.exe

    Nome del processo:
   • svchost.exe



–  Inserisce il seguente file in un processo: svchost.exe

It is injected into all processes. (it)


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://whatismyip.com/automation/n09230945.asp

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 22 aprile 2010
Descrizione aggiornata da Petre Galan su giovedì 22 aprile 2010

Indietro . . . .