TR/Repor.A - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Repor.A
Scoperto:	01/04/2005
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	29.582 Byte
Somma di controllo MD5:	10ef4838aa0496d818d82a8b12fa6425
Versione VDF:	6.30.00.60

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Keylog-SClog
   • Kaspersky: Trojan-Spy.Win32.SCKeyLog.o
   • Grisoft: PSW.Sclog.D
   • VirusBuster: Trojan.Gogel.A
   • Bitdefender: Win32.Repor.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
   • %SYSDIR%\csrs.exe

Viene creato il seguente file:

– %TEMPDIR%\ief%stringa di caratteri casuale%.tmp Questo è un file di testo “non maligno” con il seguente contenuto:
   • %URL visitato%

– %TEMPDIR%\67-41 Questo è un file di testo “non maligno” con il seguente contenuto:
   • %nome del computer%
     %data corrente%
     %ora corrente%
     %indirizzo IP corrente%
     %nome utente corrente%
     %tutti i processi in esecuzione%
     %informazioni sottratte%

– %SYSDIR%\srsc.dat Questo file contiene le informazioni recuperate riguardo al sistema.
– %SYSDIR%\srsc.le Questo file contiene le informazioni recuperate riguardo al sistema.

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "csrs"="%SYSDIR%\csrs.exe"

Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   csrs]
   • "DllName"="csrs.dll"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Lock"="WLELock"
   • "Logoff"="WLELogoff"
   • "Logon"="WLELogon"
   • "Shutdown"="WLEShutdown"
   • "StartScreenSaver"="WLEStartScreenSaver"
   • "Startup"="WLEStartup"
   • "StopScreenSaver"="WLEStopScreenSaver"
   • "Unlock"="WLEUnlock"

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Design dell'email:
Da: tibianhackr28@yahoo.com
A: tibianhackr28@yahoo.com
Oggetto: Log report of computer %nome del computer% (%nome utente corrente%)
Corpo della mail:
   • SC-KeyLog log report

     See attached file(s)...
Allegati:
   • IE_Favorites.html(%TEMPDIR%\ief%stringa di caratteri casuale%.tmp)
   • LogFile.log(%TEMPDIR%\67-41)

L'email può presentarsi come una delle seguenti:

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Cattura:
• Battute di tastiera
• Informazioni della finestra

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Fri, 17 Mar 2006 16:38 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Tue, 21 Mar 2006 12:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro