TR/Spy.BZub.DG.1 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.BZub.DG.1
Scoperto:	06/09/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	86.232 Byte
Somma di controllo MD5:	d9293079adae74d999bd6efbb2151e62
Versione VDF:	6.35.01.190
Versione IVDF:	6.35.01.194

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Spy-Agent.ak
   • Kaspersky: Trojan-Spy.Win32.BZub.dg
   • TrendMicro: TSPY_BZUB.DG
   • F-Secure: Trojan-Spy.Win32.BZub.dg
   • Eset: Win32/Spy.BZub.DG

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

File Vengono creati i seguenti file:

– %SYSDIR%\form.txt Questo è un file di testo “non maligno” con il seguente contenuto:
• %informazioni sottratte%

– %SYSDIR%\ipv6mons.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.BZub.DG.2

Registro I valori della seguente chiave di registro vengono rimossi:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • "h"
   • "wspopp"
   • "forwas"
   • "nw"

Registra dei “browser helper objects” (BHOs) aggiungendo le seguenti chiavi:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{73364D99-1240-4dff-B11A-67E448373048}]
– [HKCR\CLSID\{73364D99-1240-4dff-B11A-67E448373048}]
– [HKCR\CLSID\{73364D99-1240-4dff-B11A-67E448373048}\InprocServer32]
   • @="%SYSDIR%\ipv6mons.dll"
   • "ThreadingModel"="apartment"
   • "Enable Browser Extensions"="yes"

Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"="%PROGRAM
      FILES%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"

Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • "net_insll"=%stringa casuale di otto caratteri%
   • "worg"=%valori esadecimali%
   • "cmpid"=%valori esadecimali%

Backdoor Contatta il server:
Il seguente:
   • http://81.95.147.138/sqlstat/**********

Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • Nome del computer
    • Indirizzo IP
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Ora di sistema
    • Informazioni sul sistema operativo Windows

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID
– Le password inserite nei campi di input password
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
• %qualunque sito web che contenga una form di login%

– Cattura:
• Informazioni di login

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Adriana Popa il Tue, 03 Oct 2006 10:36 (GMT+1)
Descrizione aggiornata da Adriana Popa il Tue, 03 Oct 2006 15:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro