TR/Nichgig - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Nichgig
Scoperto:	28/06/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	10.901 Byte
Somma di controllo MD5:	62c776499583a39c3e613ead52e23c9c
Versione VDF:	6.35.00.87
Versione IVDF:	6.35.00.95

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Trojan.Gobrena
   • Mcafee: PWS-Goldun.dr
   • Kaspersky: Trojan-Spy.Win32.Goldun.mf
   • F-Secure: Trojan-Spy.Win32.Goldun.mf
   • VirusBuster: TrojanSpy.Goldun.LG
   • Eset: Win32/Spy.Goldun.LX

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

File Crea la seguente directory:
• %TEMPDIR%\4185XXXX

Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
• %TEMPDIR%\4185XXXX\%numero%.tmp

– %SYSDIR%\hdtvu6.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Goldun.ME

– %SYSDIR%\nkudpn1.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Nichgig

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\nkudpn1.sys"
   • "DisplayName"="NKU UDPN1-01"

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
   • "0"="Root\LEGACY_NKUDPN1\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
   • "Security"=%valori esadecimali%

Viene aggiunta la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   hdtvu6
   • "DllName"="hdtvu6.dll"
   • "Startup"="hdtvu6"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "isfr2"="[%numero%[%current user%]"

Backdoor Contatta il server:
Il seguente:
   • www.proxyland.net/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Informazioni sul sistema operativo Windows

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
• https://www.e-gold.com/acct/login.html

– Cattura:
• Informazioni di login

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\hdtvu6.dll

    Nome del processo:
   • %tutti i processi iniziati dopo l'attivazione del malware nella
      memoria%

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• FSG

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Teodor Onisor il Tue, 19 Sep 2006 08:36 (GMT+1)
Descrizione aggiornata da Teodor Onisor il Wed, 20 Sep 2006 11:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro