Backdoor.Rustock







Nome: Backdoor.Rustock
Scoperto: 13 gennaio 2006
Aggiornamento: 14 Gennaio 2006 09:54:42
I sistemi interessati: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000

Backdoor.Rustock è un cavallo di Troia con funzionalità di backdoor che consente a un computer compromesso di essere usato come un proxy nascosto. Esso utilizza tecniche rootkit per nascondere la sua presenza sul computer infetto.

Quando il Trojan viene eseguito, crea i seguenti file:
% System% \ drivers \ I386P.SYS
% System% \ MSCTL32.DLL

Il Trojan crea le seguenti chiavi di Registro in modo da essere eseguito ogni volta all'avvio di Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "Asynchronous" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "DllName" = "[NAME_OF_TROJAN_DLL]. DLL"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "Impersonate" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "Startup" = "Avvio"

Il Trojan crea quindi un dispositivo di servizio nascosto con le seguenti caratteristiche:
Nome visualizzato: i386p
Image Path:% System% \ drivers \ I386P.SYS

Il dispositivo di cui sopra è un rootkit kernel-mode che permette al Trojan di nascondere i file e le sottochiavi del Registro di sistema che crea. Può anche svolgere un ruolo in ogni tentativo del cavallo di Troia di rubare informazioni sensibili.

Il Trojan inietta il file dropped.dll nel processo Winlogon.

Successivamente, il Trojan può scaricare e installare un programma ICQ dal seguente sito Web:
http://ftp.icq.com/pub/ICQ_WIN95_98_NT4/icq5_setup.exe

Il Trojan apre quindi un proxy nascosto su una porta TCP scelto casualmente sul computer infetto.

Il Trojan tenta anche di contattare i seguenti siti Web per scaricare i file e le informazioni di configurazione:
http://ftp.skystockfinance.cc
http://https.enjoyfit2006.biz
http://www2.firemonk2006.com

Il Trojan può anche contattare i seguenti host SMTP usando la porta 25:
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com

Fonte: Symantec

Nessun commento:

Posta un commento