Nome del virus:TR/Oficla.AA
Scoperto:07/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:34.816 Byte
Somma di controllo MD5:ee97199dec81e92d2a1013c827afd5bc
Versione IVDF:7.10.09.29 - mercoledì 7 luglio 2010

 Generale Metodo di propagazione:
   • Email


Piattaforme / Sistemi operativi:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %TEMPDIR%\svchost.exe



Vengono creati i seguenti file:

%TEMPDIR%\tmpf5c96f2a.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
%temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
%temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe



Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.um**********oom5.gif
Viene salvato in locale sotto: %TEMPDIR%\system.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"



La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   • 



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Ikcie]
   • %valori esadecimali%

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • DHL Tracking Number



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Hello!
     
     The courier company was not able to deliver your parcel by your address.
     
     You may pickup the parcel at our post office personaly.
     
     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.
     
     Thank you for attention.
     DHL Delivery Services.


File allegato:
Il nome del file allegato è:
   • DHL_INVOICE23.zip

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Patrick Schoenherr su mercoledì 7 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su mercoledì 7 luglio 2010

Indietro . . . .