Nome del virus:TR/Vilsel.swd
Scoperto:15/02/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:34.308 Byte
Somma di controllo MD5:98d00c91854a13f839b1b923961520f8
Versione IVDF:7.10.04.59 - lunedì 15 febbraio 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Sophos: Mal/EncPk-ND
   •  Panda: Trj/Vilsel.U
   •  Eset: Win32/AutoRun.FakeAlert.DU
   •  Bitdefender: Trojan.Zbot.HNM


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %unità disco%\autorun.exe
   • %SYSDIR%\logon.exe



Sovrascrive un file.
%SYSDIR%\drivers\aec.sys



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %TEMPDIR%\rdl3.tmp.exe
   • %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
   • %TEMPDIR%\rdl2.tmp
   • %TEMPDIR%\alg.exe
   • %TEMPDIR%\rdl1.tmp



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%TEMPDIR%\rdl3.tmp.exe
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Ui.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dll
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Local.dtd
%TEMPDIR%\rdl1.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: RKIT/Bezopi.G

%TEMPDIR%\rdl2.tmp
%TEMPDIR%\alg.exe



Prova a scaricare dei file:

– La posizione è la seguente:
   • http://wc-lost.info/**********


– La posizione è la seguente:
   • http://teamstream.biz/**********


– Le posizioni sono le seguenti:
   • http://gp2x.ws/zg/**********?v=%numero%&rs=&n=%numero%&uid=%numero%
   • http://gp2x.ws/zg/**********?v=%numero%&rs=&n=%numero%&uid=%numero%&cc=%numero%


– La posizione è la seguente:
   • http://wc-zone.info/common/**********




Prova ad eseguire i seguenti file:

– Nome del file:
   • %TEMPDIR%\rdl3.tmp.exe


– Nome del file:
   • %TEMPDIR%\\alg.exe


– Nome del file:
   • netsh.exe firewall add allowedprogram program = "%TEMPDIR%\alg.exe" name = "Application Layer Gateway Service" mode = ENABLE scope = ALL profile = ALL


– Nome del file:
   • netsh.exe firewall add allowedprogram program = "%SYSDIR%\lsass.exe" name = "LSA Shell" mode = ENABLE scope = ALL profile = ALL

 Registro Crea le seguenti righe con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\alg.exe"="%TEMPDIR%\alg.exe:*:Enabled:Application Layer Gateway Service"
   • "%SYSDIR%\lsass.exe"="%SYSDIR%\lsass.exe:*:Enabled:LSA Shell"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SwUpdate"="{003541A1-3BC0-1B1C-AAF3-040114001C01"

– [HKLM\SOFTWARE\Classes\CLSID\{003541A1-3BC0-1B1C-AAF3-040114001C01}\
   InProcServer32]
   • "@"="%ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dl"
   • "ThreadingModel"="Apartmen"

– [HKLM\SOFTWARE\Classes\CLSID\
   {003541A1-3BC0-1B1C-AAF3-040114001C01}]
   • "@"="SwUpdat"



Vengono cambiate le seguenti chiavi di registro:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Shell"="Explorer.exe logon.exe"

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Tutti i seguenti processi:
   • svchost.exe
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 14 maggio 2010
Descrizione aggiornata da Petre Galan su venerdì 14 maggio 2010

Indietro . . . .