Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:W32/Slugin.A
Scoperto:28/09/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:864.739 Byte
Somma di controllo MD5:79c28ac645beb57c4aa9a5f9bf738581
Versione IVDF:7.01.06.44 - lunedì 28 settembre 2009

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica
   • Rete locale
   • Messenger
   • Peer to Peer


Alias:
   •  Mcafee: W32/Wplugin
   •  Sophos: W32/Slugin-A
   •  Panda: W32/Wplugin.A
   •  Eset: Win32/Slugin.A
   •  Bitdefender: Win32.Worm.IM.H


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %unità disco%\RECYCLER\%CLSID%\usbhelp.exe
   • %SYSDIR%\winhost32.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\RECYCLER\%CLSID%\Desktop.ini
– %HOME%\Application Data\Wplugin.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Slugin.drop

%PROGRAM FILES%\Yahoo!\Messenger\ymsgr_tray.exe.local
%WINDIR%\ws2help.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Slugin.A

%PROGRAM FILES%\Yahoo!\Messenger\ws2help.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Slugin.A

%WINDIR%\explorer.exe.local
%WINDIR%\Wplugin.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Slugin.drop




Prova ad eseguire il seguente file:

– Nome del file:
   • %SYSDIR%\winhost32.exe %numero% "%directory di esecuzione del malware%\%file eseguiti%"

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Host Service"="winhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Host Service"="winhost32.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\OLE]
   • "Microsoft Host Service"="winhost32.exe"

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:   Cerca le directory che contengono una delle seguenti sottostringhe:
   • \Program Files\LimeWire\Shared
   • \Program Files\eDonkey2000\incoming
   • \Program Files\KAZAA
   • \Program Files\Morpheus\My Shared Folder\
   • \Program Files\BearShare\Shared\
   • \Program Files\ICQ\Shared Files\
   • \Program Files\Grokster\My Grokster\
   • \My Downloads\


 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– MSN Messenger


A:
Tutti i dati immessi nella lista dei contatti.
Il messaggio inviato sarà tipo uno dei seguenti:

   • OMG remember the party a few weeks back? Look at the pictures from it! haha
     These pictures are halirous man..
     Hey check out these new pictures I took

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: havfun.no-**********.biz
Nickname: [WinXP||USA|000|%numero%

Server: elvis.doe**********.com
Porta: 82
Canale: #main
Nickname: [WinXP||USA|000|%numero%

 Backdoor Viene aperta la seguente porta:

– winhost32.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Le seguenti chiavi CD:
   • Software\Activision\Call of Duty 4\codkey; Software\Activision\Soldier
      of Fortune II - Double Helix; Software\Illusion Softworks\Hidden &
      Dangerous 2; Software\Techland\Chrome; Software\Westwood\NOX;
      Software\Westwood\Red Alert 2; Software\Westwood\Red Alert;
      Software\Westwood\Tiberian Sun; Software\Red Storm
      Entertainment\RAVENSHIELD; Software\Electronic Arts\EA Sports\Nascar
      Racing 2003\ergc; Software\Electronic Arts\EA Sports\Nascar Racing
      2002\ergc; Software\Electronic Arts\EA Sports\NHL 2003\ergc;
      Software\Electronic Arts\EA Sports\NHL 2002\ergc; Software\Electronic
      Arts\EA Sports\FIFA 2003\ergc; Software\Electronic Arts\EA Sports\FIFA
      2002\ergc; Software\Electronic Arts\EA GAMES\Shogun Total War -
      Warlord Edition\ergc; Software\Electronic Arts\EA GAMES\Need For Speed
      Underground\ergc; Software\Electronic Arts\EA GAMES\Need For Speed Hot
      Pursuit 2; Software\Electronic Arts\EA GAMES\Medal of Honor Allied
      Assault Spearhead\ergc; Software\Electronic Arts\EA GAMES\Medal of
      Honor Allied Assault Breakthrough\ergc; Software\Electronic Arts\EA
      GAMES\Medal of Honor Allied Assault\ergc; Software\Electronic Arts\EA
      GAMES\Global Operations\ergc; Software\Electronic Arts\EA
      GAMES\Generals\ergc; Software\Electronic Arts\EA GAMES\James Bond 007
      Nightfire\ergc; Software\Electronic Arts\EA GAMES\Command and Conquer
      Generals Zero Hour\ergc; Software\Electronic Arts\EA GAMES\Black and
      White\ergc; Software\Electronic Arts\EA GAMES\Battlefield
      Vietnam\ergc; Software\Electronic Arts\EA GAMES\Battlefield 1942
      Secret Weapons of WWII\ergc; Software\Electronic Arts\EA
      GAMES\Battlefield 1942 The Road to Rome\ergc; Software\Electronic
      Arts\EA GAMES\Battlefield 1942\ergc; Software\Electronic Arts\EA
      Games\Battlefield 2\ergc; Software\Electronic Arts\EA
      Distribution\Freedom Force\ergc; Software\Unreal Technology\Installed
      Apps\UT2004; Software\Unreal Technology\Installed Apps\UT2003;
      Software\Silver Style Entertainment\Soldiers Of Anarchy\Settings;
      Software\JoWooD\InstalledGames\IG2; Software\Valve\Half-Life\Settings;
      Software\Valve\Gunman\Settings; Software\Eugen Systems\The Gladiators;
      Software\Valve\CounterStrike\Settings;
      Software\BioWare\NWN\Neverwinter

– La password dal seguente programma:
   • Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login

 Varie In più contiene le seguenti stringhe:
   • [cBot.cdkeys] %s CD Key: (%s).
   • [cBot.p2p] File Copied to Peer to Peer sharing.
   • [cBot.sock5] Server started on: %s:%d [USER]: %s [PASS]: %s
   • [cBot.main] Rebooting system.
   • [cBot.passwords] FireFox Started.
   • [cBot.cdkeys] Search completed.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Armadillo

Descrizione inserita da Petre Galan su martedì 25 maggio 2010
Descrizione aggiornata da Petre Galan su martedì 25 maggio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.