Nome: Backdoor.Rustock
Scoperto: 13 gennaio 2006
Aggiornamento: 14 Gennaio 2006 09:54:42
I sistemi interessati: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000
Backdoor.Rustock è un cavallo di Troia con funzionalità di backdoor che consente a un computer compromesso di essere usato come un proxy nascosto. Esso utilizza tecniche rootkit per nascondere la sua presenza sul computer infetto.
Quando il Trojan viene eseguito, crea i seguenti file:
% System% \ drivers \ I386P.SYS
% System% \ MSCTL32.DLL
Il Trojan crea le seguenti chiavi di Registro in modo da essere eseguito ogni volta all'avvio di Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "Asynchronous" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "DllName" = "[NAME_OF_TROJAN_DLL]. DLL"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "Impersonate" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ msctl32.dll \ "Startup" = "Avvio"
Il Trojan crea quindi un dispositivo di servizio nascosto con le seguenti caratteristiche:
Nome visualizzato: i386p
Image Path:% System% \ drivers \ I386P.SYS
Il dispositivo di cui sopra è un rootkit kernel-mode che permette al Trojan di nascondere i file e le sottochiavi del Registro di sistema che crea. Può anche svolgere un ruolo in ogni tentativo del cavallo di Troia di rubare informazioni sensibili.
Il Trojan inietta il file dropped.dll nel processo Winlogon.
Successivamente, il Trojan può scaricare e installare un programma ICQ dal seguente sito Web:
http://ftp.icq.com/pub/ICQ_WIN95_98_NT4/icq5_setup.exe
Il Trojan apre quindi un proxy nascosto su una porta TCP scelto casualmente sul computer infetto.
Il Trojan tenta anche di contattare i seguenti siti Web per scaricare i file e le informazioni di configurazione:
http://ftp.skystockfinance.cc
http://https.enjoyfit2006.biz
http://www2.firemonk2006.com
Il Trojan può anche contattare i seguenti host SMTP usando la porta 25:
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com
Nessun commento:
Posta un commento