Nome del virus:TR/Oficla.W.1
Scoperto:14/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:862528 Byte
Somma di controllo MD5:41B2DBB997CE5FF443DD5594EB6BCFF2
Versione IVDF:7.10.09.86 - mercoledì 14 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  F-Secure: Trojan-Downloader:W32/Oficla.GX
   •  Sophos: Mal/FakeAV-BW


Piattaforme / Sistemi operativi:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Sottrae informazioni

 File  Copia se stesso nella seguente posizione. Questo file ha dei byte casuali aggiunti in coda, pertanto può differire dall'originale:
   • %SYSDIR%\svrwsc.exe



Viene creato il seguente file:

– File “non maligno”:
   • %WINDIR%\Debug\UserMode\userenv.log

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valori esadecimali%
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."
   •

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Security]
   • "Security"=hex:%valori esadecimali%



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Enum]
   • "0"="Root\LEGACY_SVRWSC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000]
   • "Service"="SvrWsc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Security Center Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\DirectX\MSA]
   • "ver"=hex(b):cd,a2,c7,01,38,6b,01,d1
   • "X1"=hex:%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\DirectX\MSB]
   • "X1"=hex:00,00,00,00

 Backdoor Contatta il server:
Il seguente:
   • m**********ng.ru/music/forum/index1.php

Inoltre periodicamente ripete la connessione. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

Descrizione inserita da Patrick Schoenherr su mercoledì 14 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su mercoledì 14 luglio 2010

Indietro . . . .