TR/Spy.Goldun.axt - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Goldun.axt
Scoperto:	12/09/2008
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	34.931 Byte
Somma di controllo MD5:	6ba40E29db8fb6f9145fde7a45708875
Versione IVDF:	7.00.06.149

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Spy-Agent.bg trojan
   • Kaspersky: Trojan-Spy.W32.Goldun.axt
   • F-Secure: Trojan-Spy:W32/Goldun.RR
   • Sophos: Troj/Meredrop-A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

File Vengono creati i seguenti file:

– File “non maligno”:
• %SYSDIR%\k86.bin

– %SYSDIR%\cabpck.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Goldun.axn

– %SYSDIR%\krnlcab.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

Prova a scaricare un file:

– La posizione è la seguente:
• http://social-bos.biz/**********/data.php**********

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   krnlcab.sys]
   • @="Driver"

Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   cabpck]
   • DllName=hex(2):%valori esadecimali% (cabpck.dll)
   • Startup="cabpck"
   • mpersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • a950="[FA5BF78BD77A4464E]"

Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valori esadecimali% (system32\krnlcab.sys)
   • "DisplayName"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Enum]
   • "0"="Root\\LEGACY_KRNLCAB\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti% "="%file eseguiti% :*:Enabled:rundll32"


Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000]
   • "Service"="krnlcab"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="krnlcab"

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Alexander Neth il Fri, 12 Sep 2008 07:13 (GMT+1)
Descrizione aggiornata da Alexander Neth il Fri, 12 Sep 2008 07:36 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro