Atom Feed RSS Feed

Il mio profilo

My Photo
Name: blog
Location:

RICERCA

VirIT eXplorer Antivirus

Calendario

Ultimi Commenti

Archivio

Conta visite

Trojan.Win32.Buzus.EF

postato da blog.malwarelist.org [29/06/2011 16:46]

Il trojan in questione si presenta sotto il falso nome svchost.exe (in Windows è un processo del computer che ospita, o contiene, altri servizi singoli che vengono utilizzati dal SO per diverse funzioni)

 

Informazioni Tecniche

 Nome file:
 svchost.exe
 Nome originale:
 Logger.exe
 Dimensioni: 1.363.968 bytes
 Versione: 3.0.0.0
 Percorso di  installazione:
 %USERPROFILE%\Dati Applicazioni\
 Chiavi di registro modificate:

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe

 HKLM\Software\Microsot\Windows\CurrentVersion\Policies\Explorer\Run [SevicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe

 

Funzionamento

Una volta avviato, svchost.exe, presentando una piccola finestra con scritto "Loading" effettua molte operazionio dietro le quinte.  Innanzitutto:

A livello di registro:

  • Modifica la seguente chiave di registro configurandosi in esecuzione automatica sotto il nome di "Services Host for Windows": HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe
  • Modifica anche la seguente chiave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe

A livello di File System:

  • Crea una copia di se stesso su %USERPROFILE%\Dati Applicazioni
  • Crea un file sempre su %USERPROFILE%\Dati Applicazioni di nome pcinfo.dat

All'interno del file pcinfo.dat vengono registrati i programmi in esecuzione automatica, tutte le aperture di programmi durante l'uso del sistema che effettua l'utente e tutte le sue digitazioni sulla tastiera. In pratica il trojan effettua un'operazione di keylogger. Ad ogni riavvio visto che il trojan va in esecuzione automatica si presenta sempre la finestrella con la scritta "Loading".

 

    NOTE:

    %USERPROFILE% = C:\Documents and Settings\ {username}

    HKCU = HKEY_CURRENT_USER

    HKLM = HKEY_LOCAL_MACHINE


Rimozione: VirIT 6.9.34 - www.tgsoft.it