Si tratta di un cavallo di Troia che apre una backdoor nel computer infettato.
Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003.
Il Trojan può contenere anche un’icona cinematografica.
Quando si esegue, il cavallo di Troia rilascia e esegue i seguenti file
%Temp%\file.exe (Tdiserv)
%Temp%\e-card.exe (Virantix.C)
Allo scopo di evitare che nella memoria di sistema siano attive più istanze di se stesso, il worm crea un mutex con il nome
\TdlStartMutex
Successivamente, il Trojan crea il seguente file
%Temp%\TDSS[FILE CON CARATTERI A CASO 1].tmp
Il malware crea il seguente evento
\TDKD
Il Trojan copia il file %Sysdir%\ADVAPI32.DLL nel seguente percorso
%Temp%\TDSS[FILE CON CARATTERI A CASO 2].tmp
Il cavallo di Troia modifica 21 byte di questo file così da poter usare un servizio di Windows per eseguire il suo codice.
Successivamente, il Trojan elimina il seguente oggetto del sistema operativo Windows
\KnownDlls\advapi32.dll
La sezione link di questo oggetto viene modificata così da puntare al seguente file
%Temp%\TDSS[FILE CON CARATTERI A CASO 2].tmp
Il Trojan, poi, crea di nuovo il seguente oggetto
\KnownDlls\advapi32.dll
Successivamente, il malware termina e riavvia il seguente servizio di Windows
MSISERVER
Questo servizio esegue il programma msiexec.exe e anche il file
TDSS[CARATTERI A CASO 2].tmp.
Il Trojan crea il seguente driver rootkit
%Sysdir%\drivers\TDSServ.sys
Per eseguire il rootkit anche in modalità provvisoria, il Trojan lo registra come un servizio creando le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSServ.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSServ.sys
Il malware crea anche le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\version
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\connections
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\disallowed
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\injector
Il Trojan crea le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\"build" = "standart"
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\"serversdown" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\"type" = "popup"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata\"affid" = "39"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata\"asubid" = "v2test7"
Il rootkit nasconde tutti i file e gli elementi del Registro che iniziano con la seguente stringa
TDS
Successivamente, il Trojan rinomina il file %Temp%\file.exe con il seguente nome e poi lo elimina
%Temp%\TDSS[[FILE CON CARATTERI A CASO 3].tmp
Il malware può creare anche alcuni dei seguenti file
%Sysdir%\TDSSerrors.log
%Sysdir%\TDSSservers.dat
%Sysdir%\TDSSl.dll
%Sysdir%\TDSSlog.
%Sysdir%\TDSSmain.dll
%Sysdir%\TDSSinit.dll
%Sysdir%\TDSSlog.dll
%Sysdir%\TDSSadw.dll
%Sysdir%\TDSSpopup.dll
%Sysdir%\TDSSpopup[NUMERO A CASO].url
Il Trojan inietta un’operazione backdoor nel processo SVCHOST.EXE e tenta di contattare i seguenti indirizzi remoti
[http://]updatepanel.us/ctl/crcmds/ma[RIMOSSO]
[http://]stableclick.com/ctl/crcmds/ma[RIMOSSO]
[http://]stableclick2.com/ctl/crcmds/ma[RIMOSSO]
[http://]updatemic0.com/ctl/crcmds/ma[RIMOSSO]
[http://]updatemic1.cn/ctl/crcmds/ma[RIMOSSO]
Infine, il cavallo di Troia può compiere le seguenti azioni
Mostrare pop up pubblicitari
Mostrare pubblicità non desiderate
Installare ulteriori programmi nel computer infettato
Nessun commento:
Posta un commento