TR/Drop.Starter.M.1 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Drop.Starter.M.1
Scoperto:	16/10/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	890.164 Byte
Somma di controllo MD5:	51da88d0bcd95a6f763f296e7a5aad3a
Versione VDF:	6.36.00.109
Versione IVDF:	6.36.00.125

Generale Alias:
   • Sophos: Troj/ServU-ED

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

File Vengono creati i seguenti file:

– File “non maligni”:
   • %PROGRAM FILES%\Internet Explorer\lewocXAIrvqopKR.ocx
   • %PROGRAM FILES%\Internet Explorer\t-exec.dll
   • %PROGRAM FILES%\Internet Explorer\t-exec.ini
   • %PROGRAM FILES%\Internet Explorer\tcp_setting.ocx
   • %PROGRAM FILES%\Internet Explorer\updater.dll
   • %PROGRAM FILES%\Internet Explorer\updater.ini
   • %PROGRAM FILES%\Internet Explorer\go.bat

– %PROGRAM FILES%\Internet Explorer\rar.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Starter.M

– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Riconosciuto come: SPR/FTPServ.A

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\tcp-ip
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%PROGRAM FILES%\Internet Explorer\ie-explorer.exe"
   • "DisplayName"="Internet Protocol"
   • "ObjectName"="LocalSystem"
   • "Description"="Enables Internet Protocol connections over TCP (TCP/IP) include NetBIOS Support"

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCP-IP
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCP-IP\0000
   • "Service"="tcp-ip"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Internet Protocol"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCP-IP\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="tcp-ip"

– HKLM\SYSTEM\CurrentControlSet\Services\tcp-ip\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\tcp-ip\Enum
   • "0"="Root\\LEGACY_TCP-IP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Backdoor Le seguenti porte sono aperte:

– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 1480 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 1908 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 3389 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 6666 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 10000 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 19820 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 21000 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 45120 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 45180 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 65000 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 43958 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 24 con lo scopo di procurarsi un server FTP.
– %PROGRAM FILES%\Internet Explorer\ie-explorer.exe sulla porta TCP 145 con lo scopo di procurarsi un server FTP.

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Bogdan Iliuta il Wed, 29 Nov 2006 15:23 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Mon, 04 Dec 2006 18:31 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro