W32 Belmoo.A







Malware Tipo: Trojan
Minaccia a basso rischio
Descrizione creata: 2010/10/26
Descrizione modifica: 2010/10/26

Belmoo è un eseguibile Windows, 48.640 byte. È scritto in C, e non è compresso o crittografato in alcun modo. L'eseguibile è apparentemente creato dom 24 ott 16:26:29 2010.

Installazione

Su di esecuzione esso si copia nella cartella temporanea di % WINDOWS% e crea chiavi di registro in modo che sia avviato da boot:

* Crea il file [WINDIR] \ temp \ symantec.exe.
* Crea valore "Microsoft Windows Update" = "[WINDIR] \ temp \ symantec.exe" in chiave "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run".
* Crea valore "Microsoft Windows Update" = "[WINDIR] \ temp \ symantec.exe" in chiave "HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run".

Si noti che utilizza la riga di comando REG per fare la modifica del Registro di sistema, ma non manipola il Registro di sistema direttamente dal programma.

Funzionalità.

Il malware cercherà di puntare a due indirizzi internet:

nobel.usagov.mooo.com
update.microsoft.com

A quanto pare il primo di questi indirizzi non viene utilizzato per qualcosa in particolare. L'ultimo è utilizzato per una singola connessione sulla porta TCP 80 (HTTP). Il risultato di questa connessione non è selezionata.

Dopo di che tenterà di collegarsi a due altri indirizzi internet alternativamente

l-3com.dyndns-work.com
l-3com.dyndns.tv

Se nessuno di questi indirizzi si risolve, il malware uscirà.

Se si risolve il primo indirizzo, il malware tenta di connettersi ad esso sulla porta 443/tcp. Se questo collegamento non riesce, il malware proverà a connettersi al secondo indirizzo sulla porta 80/tcp, presumibilmente per evitare il firewall. Se uno dei due si connette con successo, il malware attacca una shell di comando, dando ad un utente malintenzionato l'accesso al computer locale con gli stessi diritti dell'utente connesso.

Dopo che la porta è stato chiusa, il malware aspetta un tempo semi-casuale prima di riprovare; minimo un minuto.

Analisi di Snorre Fagerland

Fonte: Norman
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)