blog.malwarelist.org

Il trojan analizzato, dal nome ac32.exe, si comporta in modo molto malevolo configurandosi in esecuzione automatica e consumando quasi tutte le risorse di processore e memoria rallentando notevolmente l'uso del pc.

Informazioni Tecniche

Funzionamento

Una volta avviato il file malevolo, si copia in C:\Windows\System32 e modifica il registro configurandosi in esecuzione automatica. Il trojan effettua anche altre operazioni malevoli:

A livello di File System:

• Crea su %TEMP% due file: il primo ac32_co.txt non contiene nulla di rilevante il secondo invece ac32.bat contiene uno script il quale consente al trojan di eseguire un invio continuo di pacchetti verso la scheda di rete interna del pc, consente la continua chiusura e riapertura di un nuovo processo ac32.exe e, in caso di apertura di ac32.bat, la sua automatica eliminazione.

A livello di rete:

• Si connette al seguente indirizzo IP: 64.111.###.### (cliccare per maggiori informazioni sul proprietario) ed effettua del traffico HTTP_GET cercando di fare il download del file 472.jpg.

Il trojan risulta presente tra le applicazioni attive con il nome "BrowseIt" ed è veramente impossibile terminarlo dal  Task Manager di Windows perchè il processo si chiude e si apre in continuazione senza sosta.

     NOTE:

     %SYSTEMROOT% = C:\Windows

     %TEMP% = C:\Documents and Settings\{username}\Impostazioni Locali\Temp\

     HKLM = HKEY_LOCAL_MACHINE