TR/Virtumonde.26730 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Virtumonde.26730
Scoperto:	02/04/2007
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	26730 Byte
Somma di controllo MD5:	731396df61f1cedc2b70ab33ebb0c0b3
Versione VDF:	6.38.00.161
Versione IVDF:	6.38.00.165

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alla seguente posizione:
• %SYSDIR%\%stringa casuale di cinque caratteri%.dll

Prova a scaricare un file:

– La posizione è la seguente:
• http://89.188.16.15/ths/lo1.dll**********
Viene salvato in locale sotto: %SYSDIR%\%stringa casuale di cinque caratteri%.dll Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%ora corrente%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%directory di esecuzione del malware%\%file eseguiti%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%numero esadecimale%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %file eseguiti%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%file eseguiti%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000

Vengono cambiate le seguenti chiavi di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valore precedente:
   • "1A10"=%impostazioni definite dell'utente%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%numero esadecimale%

Backdoor Contatta il server:
Il seguente:
• http://65.243.103.80/80/67247**********&t=%data corrente%**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Come il virus si inserisce nei processi – Si inserisce in un processo.

    Tutti i seguenti processi:
   • Explorer.exe
   • Winlogon.exe
   • %processi con finestre visibili%

Varie Mutex:

Crea uno dei seguenti Mutex:
• _ConsprMutx
• awx_mutant

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Monica Ghitun il Thu, 19 Apr 2007 09:24 (GMT+1)
Descrizione aggiornata da Monica Ghitun il Thu, 19 Apr 2007 12:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro