Atom Feed RSS Feed

Il mio profilo
My Photo
Name: blog
Location:

RICERCA

VirIT eXplorer Antivirus

Calendario

Ultimi Commenti

Archivio

Conta visite

Worm.Win32.Kolab.D

postato da blog.malwarelist.org [25/06/2009 11:21]

Il Worm.Win32.Kolab.D si diffonde tramite mail:

 

 

Seguendo il link riportato in email (da notare che non è il link a youTube) viene visualizzata la seguente pagina simile a quella ufficiale:

 

Viene chiesto di installare wmpcodec.exe (1.822.720 byte) che, secondo il testo della mail, è un codec necessario per la visualizzazione del video.

 

Il Worm.Win32.Kolab.D wmpcodec.exe (1.822.720 byte), dopo l'avvio installa una copia, windows.exe (1.822.720 byte).

 

Il Worm.Win32.Kolab.D , windows.exe (1.822.720 byte), si configura, modificando il registro, per essere eseguito in modo automatico all'avvio del sistema.

 

Il Worm.Win32.Kolab.D si istanzia in

%SYSTEMROOT%\system32\windows.exe

come file nascosto.

 

Vengono modificate la chiavi di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

inserendo in entrambe:

Microsoft Windows Security = windows.exe

 

Il Worm.Win32.Kolab.D scarica in

%SYSTEMROOT%\system32\#treibu

il file nascosto

  • #treibu (8.752 byte)

Nel file #treibu vengono memorizzati i tasti premuti;

E' un file di log utilizzato per memorizzare le operazione fatte dall'utente.

 

Il file #treibu contiene le seguenti operazioni fatte dall'utente:


[6-25-2009 10:52:45]  (Changed Windows: Outlook Express)
[6-25-2009 10:53:48]  (Changed Windows: )
[6-25-2009 10:54:3]  (Changed Windows: Senza nome - Blocco note)
[6-25-2009 10:54:12]  (Changed Windows: Trova)
[6-25-2009 10:54:45] v[CTRL] (Changed Windows: Blocco note)
[6-25-2009 10:54:46]  (Changed Windows: Trova)
[6-25-2009 10:54:47]  (Changed Windows: )
[6-25-2009 10:54:48]  (Changed Windows: )
[6-25-2009 10:54:48]  (Changed Windows: Menu Avvio)
[6-25-2009 10:54:51]  (Changed Windows: )
[6-25-2009 10:54:58]  (Changed Windows: Risultati ricerca)

 

 

 

Il Worm.Win32.Kolab.D si collega al seguente indirizzo IP:

  • 87.98.184.231

utilizzando la porta 6667.

 

Informazioni riguardo l'indirizzo IP:

IP address:                     87.98.184.231
Reverse DNS:                    p0wned.de.
Reverse DNS authenticity:       [Verified]
ASN:                            16276
ASN Name:                       OVH (OVH)
IP range connectivity:          19
Registrar (per ASN):            RIPE
Country (per IP registrar):     FR [France]
Country Currency:               EUR [euros]
Country IP Range:               87.98.128.0 to 87.98.255.255
Country fraud profile:          Normal
City (per outside source):      Unknown
Country (per outside source):   FR [France]
Private (internal) IP?          No
IP address registrar:           whois.ripe.net
Known Proxy?                    No
Link for WHOIS:                 87.98.184.231

 

NOTE:

%SYSTEMROOT% = C:\WINDOWS

HKLM = HKEY_LOCAL_MACHINE

 

Rimozione: VirIT versione 6.4.51 - http://www.tgsoft.it/

 

 

 

 

 

 
commenti : (0)