Nome del virus:TR/VB.abuo
Scoperto:23/02/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:651.264 Byte
Somma di controllo MD5:274072bc83d87f4c0a797e5f0687420b
Versione IVDF:7.10.04.133 - martedì 23 febbraio 2010

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Peer to Peer


Alias:
   •  Sophos: Mal/VBInject-D
   •  Panda: Adware/AccesMembre
   •  Eset: Win32/Merond.O
   •  Bitdefender: Trojan.VB.Agent.EB


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\javajar.exe
   • %unità disco%\RECYCLER\%CLSID%\redmond.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\RECYCLER\%CLSID%\Desktop.ini
%SYSDIR%\jconsole.exe



Prova ad eseguire il seguente file:

– Nome del file:
   • "%SYSDIR%\jconsole.exe"

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdaterv12"="%SYSDIR%\javajar.exe"



I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\javajar.exe"="%SYSDIR%\javajar.exe:*:Enabled:Explorer"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "juseful1"=""
   • "juseful2"=""

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • e-cards@hallmark.com
   • invitations@hi5.com
   • invitations@twitter.com


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!
   • Your friend invited you to twitter!



Corpo dell'email:
– Contiene codice HTML.


File allegato:
Il nome del file allegato è uno dei seguenti:
   • Invitation Card.zip
   • Postcard.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:   Recupera la cartella condivisa interrogando la seguente chiave di registro:
   • Software\eMule

   Se riuscito, i seguenti file vengono creati:
   • Sophos antivirus updater bypass.exe; Twitter FriendAdder 2.1.1.exe;
      Ashampoo Snap 3.02.exe; Divx Pro 7 + keymaker.exe; CleanMyPC Registry
      Cleaner v6.02.exe; PDF to Word Converter 3.0.exe; Adobe Photoshop CS4
      crack.exe; Grand Theft Auto IV (Offline Activation).exe; Rapidshare
      Auto Downloader 3.8.exe; VmWare keygen.exe;
      Winamp.Pro.v7.33.PowerPack.Portable+installer.exe; Mp3 Splitter and
      Joiner Pro v3.48.exe; Norton Anti-Virus 2010 Enterprise Crack.exe;
      Image Size Reducer Pro v1.0.1.exe; McAfee Total Protection 2010.exe;
      Alcohol 120 v1.9.7.exe; DVD Tools Nero 10.5.6.0.exe; Myspace theme
      collection.exe; Absolute Video Converter 6.2.exe; K-Lite Mega Codec
      v5.5.1.exe; BitDefender AntiVirus 2010 Keygen.exe; Ad-aware 2010.exe;
      Super Utilities Pro 2009 11.0.exe; Microsoft.Windows 7 ULTIMATE FINAL
      activator+keygen x86.exe; Magic Video Converter 8 0 2 18.exe; Nero 9
      9.2.6.0 keygen.exe; Power ISO v4.2 + keygen axxo.exe; Windows2008
      keygen and activator.exe; Total Commander7 license+keygen.exe; K-Lite
      Mega Codec v5.6.1 Portable.exe; Daemon Tools Pro 4.11.exe; Anti-Porn
      v13.5.12.29.exe; Tuneup Ultilities 2010.exe; LimeWire Pro v4.18.3.exe;
      Motorola, nokia, ericsson mobil phone tools.exe; WinRAR v3.x keygen
      RaZoR.exe; Trojan Killer v2.9.4173.exe; Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe; Windows XP
      PRO Corp SP3 valid-key generator.exe; Blaze DVD Player Pro v6.52.exe;
      PDF-XChange Pro.exe; YouTubeGet 5.4.exe; Norton Internet Security 2010
      crack.exe; Kaspersky AntiVirus 2010 crack.exe; Google SketchUp 7.1
      Pro.exe; PDF Unlocker v2.0.3.exe; Download Boost 2.0.exe; Avast 4.8
      Professional.exe; Adobe Acrobat Reader keygen.exe; VmWare 7.0
      keygen.exe; RapidShare Killer AIO 2010.exe; Internet Download Manager
      V5.exe; Youtube Music Downloader 1.0.exe; AnyDVD HD v.6.3.1.8 Beta
      incl crack.exe; Download Accelerator Plus v9.exe; G-Force Platinum
      v3.7.5.exe; Kaspersky Internet Security 2010 keygen.exe; PDF password
      remover (works with all acrobat reader).exe; Adobe Illustrator CS4
      crack.exe


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://whatismyip.com/automation/n09230945.asp

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 21 maggio 2010
Descrizione aggiornata da Petre Galan su venerdì 21 maggio 2010

Indietro . . . .