Nome del virus:TR/Neeris.67584
Scoperto:31/03/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:67.584 Byte
Somma di controllo MD5:f7db2ac64bf9874bc03d847426c0c811
Versione IVDF:7.10.06.06 - mercoledì 31 marzo 2010

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Sophos: W32/Autorun-AEX
   •  Bitdefender: Trojan.Agent.AMMK
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/Injector.MM


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\smsc.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\drivers\sysdrv32.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Hacktool.Tcpz.A




Prova ad eseguire il seguente file:

– Nome del file:
   • "%SYSDIR%\smsc.exe"

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WSSVC"="%SYSDIR%\smsc.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   SVCWINSPOOL]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   SVCWINSPOOL]
   • "@"="Service"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-011 (LSASS Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: b.vsp**********.com
Porta: 988
Canale: #lox
Nickname: [00-USA-XP-%numero%]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 5 agosto 2010
Descrizione aggiornata da Petre Galan su giovedì 5 agosto 2010

Indietro . . . .