TR / Spy.SpyEyes.YJ







Alias: TR / Spy.SpyEyes.YJ
Trojan-Spy.Win32.SpyEyes.yj (Sophos)
Mal / Generic-L
Categoria: Virus e Spyware
Tipo: Trojan

È un cavallo di Troia che può sottrarre informazioni dal computer infettato.

Il file ha una lunghezza di 70144 byte

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003 e Windows 7.

Questo malware deve essere installato manualmente sul computer. Può diffondersi anche in altri modi, come per esempio usando i Web Exploit Toolkits.

Quando si esegue, il Trojan rilascia il seguente file di configurazione, contenuto all’interno di un archivio ZIP protetto da password
%DiscodiSistema%\cleansweep.exe\config.bin

Il malware rilascia anche il seguente file, che contiene una password codificata per accedere al precedente file di configurazione
%DiscodiSistema%\cleansweep.exe\cleansweep.exe

Allo scopo di essere eseguito a ogni avvio di Windows, il cavallo di Troia crea la seguente chiave di Registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"cleansweep.exe" = "%DiscodiSistema%\cleansweep.exe\cleansweep.exe"

Successivamente, il Trojan inietta il suo codice in ogni processo di sistema in esecuzione così da poter compiere le seguenti azioni
Controllare il traffico di rete
Inviare e ricevere pacchetti di rete per oltrepassare le difese dei firewall

Il malware possiede alcune capacità rootkit, come per esempio
Nascondere la propria presenza all’interno dei processi in cui si è iniettato
Nascondere e evitare l’accesso al proprio codice binario
Nascondere e evitare l’accesso alla sua chiave di Registro di avvio

Il cavallo di Troia sottrae informazioni dai seguenti browser Internet
Firefox
Internet Explorer
Maxthon

Il malware invia le informazioni sottratte a un server di controllo, specificato nel file di configurazione.

Un utente remoto malintenzionato può compiere le seguenti azioni dal server di controllo
Scaricare e eseguire file
Registrare e salvare le informazioni digitate sulla tastiera
Compiere determinate operazioni nascoste sul Trojan

Testo a cura di Paolo Monti e Future Time S.r.l. - Ultima modifica: 05.02.2010

Via: Nod32
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)