DR/PSW.VB.JI - Dropper

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	DR/PSW.VB.JI
Scoperto:	26/02/2007
Tipo:	Dropper
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Basso
File statico:	Si
Dimensione del file:	3.482.304 Byte
Somma di controllo MD5:	a51e4cf019c203f7b5d56e673bb751e4
Versione VDF:	6.37.01.162

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Panda: Trj/Downloader.MDW

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro

File Crea la seguente directory:
   • %PROGRAM FILES%\ParentsFriend

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\INS%numero%.tmp
   • %TEMPDIR%\is-%stringa di caratteri casuale%.tmp\SMRunApp.exe

– %SYSDIR%\comsysh.exe
– %PROGRAM FILES%\ParentsFriend\pfunzip.exe
– %SYSDIR%\Mswinsck.ocx
– %SYSDIR%\zip32.dll
– %SYSDIR%\unzip32.dll
– %PROGRAM FILES%\ParentsFriend\system.pfs
– %PROGRAM FILES%\ParentsFriend\noporno.pfs
– %PROGRAM FILES%\ParentsFriend\nodownload.pfs
– %PROGRAM FILES%\ParentsFriend\noinstall.pfs
– %SYSDIR%\PF.hlp
– %SYSDIR%\Tabctl32.ocx
– %SYSDIR%\beegd10.ocx
– %PROGRAM FILES%\ParentsFriend\regbeegd10.bat
– %SYSDIR%\winadmd.exe
– %SYSDIR%\winadmkill.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.VB.JI

– %PROGRAM FILES%\ParentsFriend\pfadmin.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.VB.JI

– %SYSDIR%\winadm.exe
– %SYSDIR%\winprogdel.exe
– %SYSDIR%\Msinet.ocx
– %SYSDIR%\Regsvr16.exe

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\Software\winadm]
   • unins="%PROGRAM FILES%\ParentsFriend"

– [HKCR\StingaBeeGrid10.Grid]
   • (Default)="Stinga BeeGrid Control (Icursor)"

– [HKCR\StingaBeeGrid10.Grid\CLSID]
   • (Default)="{97BD7A13-77E0-11D2-8EAE-008048E27A77}"

– [HKCR\CLSID\{97BD7A13-77E0-11D2-8EAE-008048E27A77}\
   VersionIndependentProgID]
   • (Default)="StingaBeeGrid10.Grid"

– [HKCR\CLSID\{97BD7A13-77E0-11D2-8EAE-008048E27A77}\InprocServer32]
   • (Default)="%SYSDIR%\beegd10.ocx"
   • ThreadingModel="Apartment"

– [HKCR\CLSID\{97BD7A13-77E0-11D2-8EAE-008048E27A77}\ToolboxBitmap32]
   • (Default)="%SYSDIR%\beegd10.ocx, 1"

– [HKCR\TypeLib\{97BD7A05-77E0-11D2-8EAE-008048E27A77}\1.0\0\win32]
   • (Default)="%SYSDIR%\beegd10.ocx"

– [HKCR\TypeLib\{97BD7A05-77E0-11D2-8EAE-008048E27A77}\1.0\HELPDIR]
   • (Default)="%SYSDIR%\"

– [HKCR\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\InprocServer32]
   • (Default)="%SYSDIR%\Msinet.ocx"
   • ThreadingModel="Apartment"

– [HKCR\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}]
   • (Default)="Internet Control URL Property Page Object"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs]
   Nuovo valore:
   • %SYSDIR%\comcat.dll=dword:00000004

– [HKCR\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0]
   Nuovo valore:
   • (Default)="Microsoft Winsock Control 6.0 (SP4)"

– [HKCR\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32]
   Nuovo valore:
   • (Default)="%SYSDIR%\Mswinsck.ocx"

– [HKCR\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\HELPDIR]
   Nuovo valore:
   • (Default)="%SYSDIR%\"

– [HKCR\TypeLib\{00020430-0000-0000-C000-000000000046}\2.0\0\win32]
   Nuovo valore:
   • (Default)="%SYSDIR%\stdole2.tlb"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs]
   Nuovo valore:
   • %SYSDIR%\Mswinsck.ocx=dword:00000001
     %SYSDIR%\Msinet.ocx=dword:00000001

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Alexandru Dinu il Fri, 05 Oct 2007 10:42 (GMT+1)
Descrizione aggiornata da Alexandru Dinu il Fri, 05 Oct 2007 12:11 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back