blog.malwarelist.org

Trojan.Win32.FakeShell.AA

2011-09-20T14:35:39Z

Il Trojan in analisi si presenta con il nome di aegvvp.exe.

Informazioni Tecniche

Nome file:	aegvvp.exe
Dimensioni:	89.600 byte
Percorso di installazione:	%USERPROFILE%
Chiave di registro modificata:	HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon [Shell] = Explorer.exe,%USERPROFILE%\aegvvp.exe

Funzionamento

Il file aegvvp.exe una volta avviato modifica la chiave di registro in HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon [Shell] = Explorer.exe,%USERPROFILE%\aegvvp.exe. La chiave è già esistente ma il malware la modifica aggiungendosi al già presente Explorer.exe cosicché possa essere eseguito all'avvio.

NOTE:

HKLM = HKEY_LOCAL_MACHINE

%USERPROFILE% = C:\Documents and Settings\{username}

Rimozione: Vir.IT 6.9.88 - www.tgsoft.it

Trojan.Win32.Buzus.EG

2011-07-14T13:11:10Z

Il Trojan.Win32.Buzus.EG si presenta come una email da parte della compagnia FedEx, che avverte l'utente del fallimento di una spedizione e di scaricare l'allegato in formato .zip, che dovrebbe contenere una copia della fattura, da stampare e consegnare all'ufficio FedEx piu' vicino, per poter ritirare il proprio pacco.

Ecco l'immagine della mail:

Nome Malware	Trojan.Win32.Buzus.EG
Dimensioni	69.632 byte
Nome File	service.exe

In realtà il pacchetto zip in allegato, contiene un file eseguibile service.exe (della dimensione di 69.632 byte) il quale, una volta avviato, si collega al sito linode.com e crea la cartella %USERPROFILE%\Dati Applicazioni\Security Solution\ dove scarica al suo interno 3 file icona: IcoActivate.ico, IcoHelp.ico ed IcoUnistall.ico, (tutti della dimensione di 894 byte) ed altri 3 file eseguibili:

Security Solution.exe (2.909.696 byte)
securityhelper.exe (4.675.587 byte)
securitymanager.exe (96.256 byte)

Di questi file eseguibili, ne mette 2 (Security Solution.exe e securitymanager.exe) in esecuzione automatica.

Crea inoltre una copia del file securityhelper.exe rinominandolo in 840616042.exe e inserendolo nella cartella %USERPROFILE%\Dati Applicazioni\ .

Tutti questi file hanno lo scopo di creare delle finte schermate di antivirus/firewall certificati da Microsoft, ma che ovviamente non lo sono.
L'utente può decidere di chiudere queste finestre, ma fintanto che i processi rimarranno attivi, continueranno a comparire queste finestre ad intervalli regolari.

Esempi di schermate:

NOTE:

%USERPROFILE% = C:\Documents and Settings\{username} (in Windows XP)
C:\Users\{username} (in Windows Vista/7)

Rimozione: VirIT Versione 6.9.44 - http://www.tgsoft.it/

Trojan.Win32.Agent.DIK

2011-07-06T16:27:00Z

Il Trojan.Win32.Agent.DIK si presenta in modo fraudolento come un aggiornamento per il software di virtualizzazione VMWare con il nome wmprwise.exe

Informazioni Tecniche

Nome file:	wmprwise.exe
Dimensioni:	139.868 bytes
Nome originale:	VMUpgradeHelper.exe
Versione:	8.4.6.16648
Società:	VMWare, Inc (fasulla non è stato prodotto da VMWare)
Percorso di installazione:	%USERPROFILE%\Dati Applicazioni

Funzionamento

Il file una volta avviato si copia in %USERPROFILE%\Dati Applicazioni ma non va a modificare alcuna chiave del registro. Effettua però molte operazioni malevoli a livello di rete:

Si connette all'indirizzo IP 89.149.###.### (cliccare per maggiori informazioni su proprietario e indirizzo web) loggandosi con username e password.
Inizia poi a inviare spam verso alcune caselle di posta elettronica di domini noti come yahoo.com, gmail.com, hotmail.com, virgilio.it. Il mittente cambia durante i successivi invii passando per alcuni domini come wow-europe.com, stainlessgames.com, 64bitsupport.com, qa.com, introversion.co.uk, game-era.com. Il contenuto della mail è una pagina html con un link a un sito porno.

NOTE:

%USERPROFILE% = C:\Documents and Settings\{username}

Rimozione: VirIT 6.9.38 - www.tgsoft.it

Trojan.Win32.Banker.CO

2011-07-06T16:29:25Z

Il Trojan.Win32.Banker.CO si presenta come un prodotto di origine Microsoft, ovviamente non lo è, dal nome live.exe con una icona simile a Internet Explorer.

Informazioni Tecniche

Nome file:	live.exe
Dimensioni:	4.377.088 bytes
Percorso di installazione:	%USERPROFILE%\Dati Applicazioni
Chiave di registro modificata:	HKCU\Software\Microsoft\Windows\CurrentVersion\Run [JComplemento] = %USERPROFILE%\Dati Applicazioni\live.exe HKCU\Software\Microsoft\Windows\JComplemento [Live] = 0.1

Funzionamento

Una volta avviato il file live.exe, oltre a modificare le chiavi di registro sopra riportate per configurarsi in esecuzione automatica, tenta di aprire due browsers installati nel computer, Firefox e Internet Explorer, alla pagina www.getwindow.info effettuando la ricerca delle seguenti tre parole chiave: telefoni, cellulari e radiotelefoni. Se si tenta di chiudere i browser aperti il trojan ne effettuerà di nuovo l'apertura.

NOTE:

HKCU = HKEY_CURRENT_USER

Rimozione: VirIT 6.9.38 - www.tgsoft.it

Trojan.Win32.Agent.DII

2011-07-06T13:06:24Z

Il Trojan.Win32.Agent.DII in analisi si instaura come servizio del computer sotto il nome lkBsyijS.

Informazioni Tecniche

Nome file:	E001.exe
Dimensioni:	121.012 bytes
Percorso di installazione:	%SYSTEMROOT%\System32
Chiavi di registro modificate:	HKLM\System\CurrentControlSet\Services\lkBsyijS

Funzionamento

Il trojan in questione una volta eseguito si elimina dalla directory dove risiede e crea una copia di se stesso nella cartella %SYSTEMROOT%\System32\ con il nuovo nome ssoysu.exe. Effettua poi altre azioni:

A livello di registro:

Crea le seguenti chiavi: HKLM\System\CurrentControlSet\Services\lkBsyijS

[Description] = Oelk DbIjuk (stringa casuale)
[DisplayName] = MzlDOb nPVOlVdSb (stringa casuale)
[ImagePath] = %SYSTEMROOT%\System32\ssoysu.exe
[ObjectName] = Local System

A livello di rete:

Effettua del traffico verso il seguente indirizzo IP 96.44.###.## (cliccare per maggiori informazioni sul proprietario)

NOTE:

%SYSTEMROOT% = C:\Windows

HKLM = HKEY_LOCAL_MACHINE

Rimozione: VirIT 6.9.38 - www.tgsoft.it

Trojan.Win32.Small.UR

2011-07-06T06:40:52Z

Il Trojan.Win32.Small.UR si presenta sotto il falso nome di NeroCheck.exe (nome che richiama un famoso software di masterizzazione)

Informazioni Tecniche

Nome file:	NeroCheck.exe
Dimensioni:	20.992 bytes
Percorso di installazione:	%SYSTEMROOT%
Chiave di registro modificata:	HKLM\Software\Microsoft\Windows\CurrentVersion\Run [gcasServ] = %SYSTEMROOT%\gcasServ.exe

Funzionamento

Una volta avviato il file NeroCheck.exe, si elimina dalla cartella residente ma creando preventivamente una nuova copia di se stesso dal nome gcasServ.exe in %SYSTEMROOT%. Modifica anche il registro configurandosi in esecuzione automatica. Non effettua alcun traffico di rete.

NOTE:

%SYSTEMROOT% = C:\Windows

HKLM = HKEY_LOCAL_MACHINE

Rimozione: VirIT 6.9.38 - www.tgsoft.it

Trojan.Win32.Agent.DHO

2011-07-06T07:58:57Z

Il Trojan.Win32.Agent.DHO qui analizzato si presenta sotto il nome hidfind.exe

Informazioni Tecniche

Nome file:	hidfind.exe
Dimensioni:	187.904 bytes
Percorso di installazione:	C:\Programmi
Chiave di registro modificata:	HKLM\Software\Microsoft\Windows\CurrentVersion\Run [hidfind] = C:\Programmi\hidfind.exe -update

Funzionamento

Una volta avviato, il trojan hidfind.exe effettua una copia di se stesso su C:\Programmi\. Poi a livello di registro modifica la chiave sopra indicata per configurarsi in esecuzione automatica. A livello di rete invece cerca di connettersi a una serie diversa di siti porno ma senza mostrare nulla all'utente.

NOTE:

HKLM = HKEY_LOCAL_MACHINE

Rimozione: VirIT 6.9.38 - www.tgsoft.it

Trojan.Win32.Agent.DIF

2011-07-05T14:22:42Z

Il trojan analizzato, dal nome ac32.exe, si comporta in modo molto malevolo configurandosi in esecuzione automatica e consumando quasi tutte le risorse di processore e memoria rallentando notevolmente l'uso del pc.

Informazioni Tecniche

Nome file:	ac32.exe
Dimensioni:	85.504 bytes
Percorso di installazione:	%SYSTEMROOT%\System32
Chiavi di registro modificate:	HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ac32] = %SYSTEMROOT%\System32\ac32.exe

Funzionamento

Una volta avviato il file malevolo, si copia in C:\Windows\System32 e modifica il registro configurandosi in esecuzione automatica. Il trojan effettua anche altre operazioni malevoli:

A livello di File System:

Crea su %TEMP% due file: il primo ac32_co.txt non contiene nulla di rilevante il secondo invece ac32.bat contiene uno script il quale consente al trojan di eseguire un invio continuo di pacchetti verso la scheda di rete interna del pc, consente la continua chiusura e riapertura di un nuovo processo ac32.exe e, in caso di apertura di ac32.bat, la sua automatica eliminazione.

A livello di rete:

Si connette al seguente indirizzo IP: 64.111.###.### (cliccare per maggiori informazioni sul proprietario) ed effettua del traffico HTTP_GET cercando di fare il download del file 472.jpg.

Il trojan risulta presente tra le applicazioni attive con il nome "BrowseIt" ed è veramente impossibile terminarlo dal Task Manager di Windows perchè il processo si chiude e si apre in continuazione senza sosta.

NOTE:

%SYSTEMROOT% = C:\Windows

%TEMP% = C:\Documents and Settings\{username}\Impostazioni Locali\Temp\

HKLM = HKEY_LOCAL_MACHINE

Rimozione: VirIT 6.9.35 - www.tgsoft.it

Trojan.Win32.Letter.AK

2011-07-05T14:23:11Z

Il trojan in analisi si presenta sotto il nome di Gpo.exe

Informazioni Tecniche

Nome file:	Gpo.exe
Dimensioni:	152.576 bytes
Percorso di installazione:	%TEMP%
Chiavi di registro modificate:	HKCU\Software\Microsoft\Windows\CurrentVersion\Run [R4B1ZAOPF5] = %TEMP%\Gpo.exe HKCU\Software\R4B1ZAOPF5\ [VbiH] = xC53ydu..... (stringa casuale di 76 caratteri) HKCU\Software\R4B1ZAOPF5\ [VbiS] = qH56b/h12..... (stringa casuale di 413 caratteri)

Funzionamento

Il file, una volta avviato, si copia nella cartella %TEMP% e si configura modificando il registro per avviarsi in esecuzione automatica. Effettua anche altre modifiche al registro creando le due chiavi sopracitate [VbiH] assegnando una stringa casuale di 76 caratteri e [VbiS] assegnando invece a questa una stringa di addirittura 413 caratteri di lunghezza.

NOTE:

%TEMP% = C:\Documents and Settings\{username}\Impostazioni Locali\Temp

HKCU = HKEY_CURRENT_USER

Rimozione: VirIT 6.9.35 - www.tgsoft.it

Trojan.Win32.Buzus.EF

2011-07-05T14:23:42Z

Il trojan in questione si presenta sotto il falso nome svchost.exe (in Windows è un processo del computer che ospita, o contiene, altri servizi singoli che vengono utilizzati dal SO per diverse funzioni)

Informazioni Tecniche

Nome file:	svchost.exe
Nome originale:	Logger.exe
Dimensioni:	1.363.968 bytes
Versione:	3.0.0.0
Percorso di installazione:	%USERPROFILE%\Dati Applicazioni\
Chiavi di registro modificate:	HKCU\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe HKLM\Software\Microsot\Windows\CurrentVersion\Policies\Explorer\Run [SevicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe

Funzionamento

Una volta avviato, svchost.exe, presentando una piccola finestra con scritto "Loading" effettua molte operazionio dietro le quinte. Innanzitutto:

A livello di registro:

Modifica la seguente chiave di registro configurandosi in esecuzione automatica sotto il nome di "Services Host for Windows": HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe
Modifica anche la seguente chiave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [ServicesHostforWindows] = %USERPROFILE%\Dati Applicazioni\svchost.exe

A livello di File System:

Crea una copia di se stesso su %USERPROFILE%\Dati Applicazioni
Crea un file sempre su %USERPROFILE%\Dati Applicazioni di nome pcinfo.dat

All'interno del file pcinfo.dat vengono registrati i programmi in esecuzione automatica, tutte le aperture di programmi durante l'uso del sistema che effettua l'utente e tutte le sue digitazioni sulla tastiera. In pratica il trojan effettua un'operazione di keylogger. Ad ogni riavvio visto che il trojan va in esecuzione automatica si presenta sempre la finestrella con la scritta "Loading".

NOTE:

%USERPROFILE% = C:\Documents and Settings\ {username}

HKCU = HKEY_CURRENT_USER

HKLM = HKEY_LOCAL_MACHINE

Rimozione: VirIT 6.9.34 - www.tgsoft.it