W32.Temphid / mrxcls.sys







Livello di rischio 1: Molto basso

Scoperto: 13 luglio 2010
Aggiornamento: 14 Luglio 2010 06:20:05
Conosciuto anche come: Troj / Stuxnet-A [Sophos]
Tipo: Worm
Infezione Lunghezza: Varia
I sistemi interessati: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
SINTESI
W32.Temphid è un worm che si diffonde attraverso le unità rimovibili.

Protezione antivirus Date

Iniziale delle definizioni Rapid Release attesa
Ultime Rapid Release attesa
Iniziale Daily certified 13 luglio 2010 revisione 040
Ultime Certified versione Daily 13 Luglio 2010 revisione 040
Iniziale delle definizioni Weekly Certified data 14 luglio 2010
Valutazione della minaccia

Selvatico
Livello di circolazione: Basso
Numero di infezioni: 0-49
Numero di siti: 0-2
Distribuzione geografica: Bassa
Contenimento della minaccia: Facile
Rimozione: Facile
Danno
Livello del danno: Basso
Carico utile: si diffonde attraverso le unità rimovibili.
Distribuzione
Livello di distribuzione: Basso
Target di infezione: le unità rimovibili

DETTAGLI TECNICI
Quando il worm viene eseguito, copia se stesso come i seguenti file:
mrxcls.sys% System% \ drivers \
mrxnet.sys% System% \ drivers \

Nota: Questi file sono firmati con una firma digitale non valida da Realtek Semiconductor Corporation.

Successivamente, il worm registra il mrxcls.sys file come un servizio con le seguenti caratteristiche:
Nome visualizzato: MRXCLS
Tipo di avvio: Automatico
Percorso Immagine: % System% \ drivers mrxcls.sys \

Il worm crea la seguente voce del Registro di sistema per il servizio di cui sopra:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MRxCls \ "ImagePath" = "% System% \ drivers mrxcls.sys \"

Si registra inoltre il mrxnet.sys file come un servizio con le seguenti caratteristiche:
Nome visualizzato: MRXNET
Tipo di avvio: Automatico
Percorso Immagine: % System% \ drivers mrxnet.sys \

Il worm crea la seguente voce del Registro di sistema per il servizio di cui sopra:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MRxNet \ "ImagePath" = "% System% \ drivers mrxnet.sys \"

E poi nasconde i file con il nome seguente:
DriveLetter%% \ ~ WTR [quattro numeri]. Tmp

Nasconde i file sovrascrivendo i seguenti API:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile

Si inietta il suo codice anche in alcuni processi.

Il worm si diffonde copiando se stesso quindi per le unità rimovibili come i seguenti file:
%% DriveLetter \ ~ WTR4132.tmp
%% DriveLetter \ ~ WTR4141.tmp

Fonte: http://en.securitylab.ru/

Nessun commento:

Posta un commento