Nome del virus:TR/Chinky.X
Scoperto:12/02/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:69.632 Byte
Somma di controllo MD5:769e8b8e8cf2c396ef2ad88452f5a2f1
Versione IVDF:7.10.04.44 - venerdì 12 febbraio 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-AZH
   •  Panda: Trj/Downloader.XOF
   •  Eset: Win32/AutoRun.VB.LJ
   •  Bitdefender: Trojan.VB.Chinky.AD


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Vengono creati i seguenti file:

%unità disco%\Passwords .lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\New Folder .lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Pictures .lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Video .lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Documents .lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Music .lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\luirih.scr Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Chinky.X

– %HOME%\luirih.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Chinky.X

%unità disco%\luirih.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Chinky.X




Prova ad eseguire il seguente file:

– Nome del file:
   • "%HOME%\luirih.exe"

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "luirih"="%HOME%\luirih.exe"



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Shell Folders]
   Nuovo valore:
   • "Common Desktop"="%ALLUSERSPROFILE%\Desktop"
   • "Common Documents"="%ALLUSERSPROFILE%\Documents"
   • "Common Start Menu"="%ALLUSERSPROFILE%\Start Menu"
   • "CommonMusic"="%ALLUSERSPROFILE%\Documents\My Music"
   • "CommonPictures"="%ALLUSERSPROFILE%\Documents\My Pictures"
   • "CommonVideo"="%ALLUSERSPROFILE%\Documents\My Videos"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor Viene aperta la seguente porta:

– ns2.the**********.net sulla porta TCP 8002

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

Si inserisce in tutti i processi.


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Crittografia:
Crittografato: il codice del virus all'interno del file è crittografato.

Polimorfico: l'intero codice del virus cambia da un'infezione a un'altra. Il virus contiene un motore polimorfico.

Descrizione inserita da Petre Galan su mercoledì 12 maggio 2010
Descrizione aggiornata da Petre Galan su mercoledì 12 maggio 2010

Indietro . . . .