ADSPY/ISearch.d.2 - Adware / Spyware

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	ADSPY/ISearch.d.2
Scoperto:	22/11/2005
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	852.566 Byte
Somma di controllo MD5:	f822ce94e5bfa827143a8457c70F9210
Versione VDF:	6.32.00.207

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Adware-Isearch.dr.
   • VirusBuster: trojan Adware.DR.CommAd.A
   • Bitdefender: Trojan.Proxy.493

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

File Vengono creati i seguenti file:

– File “non maligni”:
   • %appdata%\NetMon\domains.txt
   • %appdata%\NetMon\log.txt

– %WINDIR%\TmFtZQ\asappsrv.dll
– %WINDIR%\TmFtZQ\command.exe
– %WINDIR%\TmFtZQ\nAIQtk.vbs
– %PROGRAM FILES%\Network Monitor\netmon.exe
– %WINDIR%\uninstall_nmon.vbs

– La posizione è la seguente:
   • http://command.adservs.com/binaries/**********
Viene salvato in locale sotto: %SYSDIR%\atmtd.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%valori esadecimali%
   • "DisplayName"="Network Monitor"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Security
   • "Security"=%valori esadecimali%

– HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum
   • "0"="Root\\LEGACY_NETWORK_MONITOR\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
   • "Service"="Network Monitor"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Network Monitor"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Network Monitor"

– HKLM\SYSTEM\CurrentControlSet\Services\cmdService
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%valori esadecimali%
   • "DisplayName"="Command Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Security
   • "Security"=%valori esadecimali%

– HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Enum
   • "0"="Root\LEGACY_CMDSERVICE\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
   • "Service"="cmdService"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Command Service"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="cmdService"

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {3877C2CD-F137-4144-BDB2-0A811492F920}
   • "Contact"="Customer Support Department"
   • "DisplayName"="Command"
   • "DisplayVersion"="1.0.1"
   • "NoModify"=dword:00000001
   • "NoRemove"=dword:00000000
   • "NoRepair"=dword:00000001
   • "UninstallString"="wscript "%WINDIR%\TmFtZQ\nAIQtk.vbs""

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {A394E835-C8D6-4B4B-884B-D2709059F3BE}
   • "Contact"="Customer Support Department"
   • "DisplayName"="Network Monitor"
   • "DisplayVersion"="6.0.1"
   • "NoModify"=dword:00000001
   • "NoRemove"=dword:00000000
   • "NoRepair"=dword:00000001
   • "UninstallString"="wscript "%WINDIR%\uninstall_nmon.vbs""

Backdoor Contatta il server:
Uno dei seguenti:
   • http://80gw6ry3i3x3qbrkwhxhw.032439.com/client.php?str=/**********
   • http://u9zqi6cq.124365.com/**********

Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Capacità di controllo remoto:
    • Download di file
    • Visitare un sito web

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Ionut Slaveanu il Wed, 24 May 2006 15:03 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Wed, 07 Jun 2006 16:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back