TR/Spy.Goldun.FN.3 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Goldun.FN.3
Scoperto:	16/01/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	90.340 Byte
Somma di controllo MD5:	2cce0a5a6806d1f10f3a61597b073636
Versione VDF:	6.33.00.117

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: PWS-Banker.d
   • Kaspersky: Trojan-Spy.Win32.Goldun.fn

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

File Viene creato il seguente file:

– %SYSDIR%\appwiz.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Goldun.FN.4

Registro Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{78364D99-A640-4ddf-B91A-67EFF8373045}]

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\Software\Windows]
   • "phid" = "%valori esadecimali%"
   • "installer_time" = dword:%valori esadecimali%

– [HKCR\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}\InprocServer32]
   • "ThreadingModel" = "apartment"
   • "@" = "%SYSDIR%\appwiz.dll"

Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Enable Browser Extensions" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Enable Browser Extensions" = "yes"

Backdoor Contatta il server:
Il seguente:
   • http://67.15.182.17/~exchange/2/**********?phid=%valori esadecimali%&ver=1.9.99&r=%data odierna in formato UNIX%&nn=1

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Invia informazioni riguardanti:
    • Stato corrente del malware
    • Ora di sistema
    • Attività locale dell'utente

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Mon, 16 Jan 2006 17:38 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Fri, 20 Jan 2006 17:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro