TR / Oficla.W.1 - Trojan

Nome del virus: TR/Oficla.W.1
Scoperto: 14/07/2010
Tipo: Trojan
In circolazione (ITW): Si
Numero delle infezioni segnalate: Basso
Potenziale di propagazione: Medio
Potenziale di danni: Medio
File statico: Si
Dimensione del file: 862528 Byte
Somma di controllo MD5: 41B2DBB997CE5FF443DD5594EB6BCFF2
Versione IVDF: 7.10.09.86

Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione

Alias:
• F-Secure: Trojan-Downloader:W32/Oficla.GX
• Sophos: Mal/FakeAV-BW

Piattaforme / Sistemi operativi:
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Effetti secondari:
• Duplica un file
• Modifica del registro
• Sottrae informazioni

File
Copia se stesso nella seguente posizione. Questo file ha dei byte casuali aggiunti in coda, pertanto può differire dall'originale:
• %SYSDIR%\svrwsc.exe

Viene creato il seguente file:

– File “non maligno”:
• %WINDIR%\Debug\UserMode\userenv.log

Registro
Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"=hex(2):%valori esadecimali%
• "DisplayName"="Windows Security Center Service"
• "ObjectName"="LocalSystem"
• "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Security]
• "Security"=hex:%valori esadecimali%

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Enum]
• "0"="Root\LEGACY_SVRWSC\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC]
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000]
• "Service"="SvrWsc"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Windows Security Center Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000\
Control]
• "*NewlyCreated*"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\DirectX\MSA]
• "ver"=hex(b):cd,a2,c7,01,38,6b,01,d1
• "X1"=hex:%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\DirectX\MSB]
• "X1"=hex:00,00,00,00

Backdoor
Contatta il server:
Il seguente:
• m**********ng.ru/music/forum/index1.php

Inoltre periodicamente ripete la connessione. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

Descrizione inserita da Patrick Schoenherr il Wed, 14 Jul 2010 09:53 (GMT+1)
Descrizione aggiornata da Patrick Schoenherr il Wed, 14 Jul 2010 10:31 (GMT+1)

Fonte: http://www.avira.com/it/threats/