TR/Spy.Goldun.HW - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Goldun.HW
Scoperto:	27/02/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	26.713 Byte
Somma di controllo MD5:	3135de8c7d51db981a36c372bb5c170A
Versione VDF:	6.33.01.33

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Spy.Win32.Goldun.hw
   • Sophos: Troj/Haxdoor-AX
   • Bitdefender: Trojan.Dropper.Goldspy.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica un file
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Vengono creati i seguenti file:

– File “non maligno”:
• %SYSDIR%\tick48.bin

– %SYSDIR%\directpt.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Small.ckj.DLL

– %SYSDIR%\directprt.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Proxy.Goldun.HW

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directpt]
   • "nk48id"="[NG48%vari numeri casuali da 0 a 9%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "DllName"="directpt.dll"
   • "Startup"="directpt"

Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directprt.sys
   • "DisplayName"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000]
   • "Service"="directprt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directprt"

Crea le seguenti righe con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

Backdoor Le seguenti porte sono aperte:

– winlogon.exe su una porta TCP casuale
– winlogon.exe sulla porta TCP 4040 con lo scopo di procurarsi una condivisione remota.

Contatta il server:
Il seguente:
   • korolevlist.com/nuc/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.

Invia informazioni riguardanti:
    • Indirizzo IP
    • Porta aperta
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Informazioni sul sistema operativo Windows

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
• %qualunque sito web HTTPS che contiene una form di login%
• Informazioni di login

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: directpt.dll

    Tutti i seguenti processi:
   • winlogon.exe
   • explorer.exe
   • %tutti i processi iniziati dopo l'attivazione del malware nella memoria%

Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Nasconde il seguente:
– I propri file
– Il proprio processo

Metodo utilizzato:
• Nascosto dalle Windows API

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• FSG

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Tue, 28 Feb 2006 12:15 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Thu, 09 Mar 2006 14:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro