TR/PSW.Small.BS.3 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/PSW.Small.BS.3
Scoperto:	12/09/2006
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	24.236 Byte
Somma di controllo MD5:	782aa60074ea0620b2c974bf9f17507a
Versione VDF:	6.35.01.216
Versione IVDF:	6.35.01.220

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Spy-Agent.bg

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %WINDIR%\9129837.exe

Cancella la copia di se stesso eseguita inizialmente.

Viene creato il seguente file:

– %WINDIR%\hide_evr2.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Small.BS.3

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe

Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %valori esadecimali%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1

Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %numero esadecimale%
   • k2 = %numero esadecimale%

Viene cambiata la seguente chiave di registro:

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • Start = %impostazioni definite dell'utente%
   Nuovo valore:
   • Start = 4

Processi terminati Il seguente servizio viene disattivato:
• Security Center

Backdoor Viene aperta la seguente porta:

– %WINDIR%\9129837.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 5.

Contatta il server:
Tutti i seguenti:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Porta aperta
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

Capacità di controllo remoto:
    • Download di file
    • Eseguire file

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password
– Le password registrate utilizzate dalla funzione di completamento automatico

Tecnologia Rootkit Nasconde il seguente:
– Il proprio processo

– I seguenti file:
   • 9129837.exe
   • hide_evr2.sys

– Il seguente valore di registro:
   • ttool

Metodo utilizzato:
    • Nascosto dalle Windows API

“Aggancia” le seguenti funzioni API:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andrei Gherman il Wed, 27 Sep 2006 13:11 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Wed, 27 Sep 2006 15:15 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro