postato da blog.malwarelist.org [29/06/2011 16:46]
Il trojan in questione si presenta sotto il falso nome svchost.exe (in Windows è un processo del computer che ospita, o contiene, altri servizi singoli che vengono utilizzati dal SO per diverse funzioni)
Una volta avviato, svchost.exe, presentando una piccola finestra con scritto "Loading" effettua molte operazionio dietro le quinte. Innanzitutto:
A livello di registro:
Modifica la seguente chiave di registro configurandosi in esecuzione automatica sotto il nome di "Services Host for Windows": HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe
Modifica anche la seguente chiave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe
A livello di File System:
Crea una copia di se stesso su %USERPROFILE%\Dati Applicazioni
Crea un file sempre su %USERPROFILE%\Dati Applicazioni di nome pcinfo.dat
All'interno del file pcinfo.dat vengono registrati i programmi in esecuzione automatica, tutte le aperture di programmi durante l'uso del sistema che effettua l'utente e tutte le sue digitazioni sulla tastiera. In pratica il trojan effettua un'operazione di keylogger. Ad ogni riavvio visto che il trojan va in esecuzione automatica si presenta sempre la finestrella con la scritta "Loading".
NOTE:
%USERPROFILE% = C:\Documents and Settings\ {username}