venerdì 28 maggio 2010

W32 / Koobface.worm







W32/Koobface.worm si diffonde attraverso Facebook e MySpace. Alias Net-Worm.Win32.Koobface.b (Kaspersky). Una nuova variante della Koobface.worm è stato visto diffondersi. Crea una copia di se stesso in%% directory di Windows come:

freddy35.exe
(Dove%% Windows è la directory di Windows ad esempio C: \ Windows)

Si collega ai seguenti domini e IP per inviare e ricevere informazioni attraverso il comando di richiesta HTTP.

1dns2 [bloccato]. Com
temp2 [bloccato]. com
wm210 [bloccato]. com
open21 [bloccato]. com
er21 [bloccato]. com
[Websrv bloccato]. Com
rserve [bloccato]. org
94.142.129. [Bloccato]
Rilasciato comandi include il download e l'installazione di nuovi malware.

STARTONCE | http://www.blankpages.be/ [bloccato] / websrvx.exe
INIZIO | http://www.blankpages.be/ [bloccato] / captcha6.exe
STARTONCE | http://www.blankpages.be/ [bloccato] / kaka.exe
FBTARGETPERPOST | 10
Razlog | 1
# BLACKLABEL

malware scaricati vengono identificati come PWS-LDPinch, generico e Downloader.x Puper.

Si scarica anche malware (identificato come Trojan BackDoor-AWQ.b e generico trojan Backdoor) dal server remoto i seguenti:

ipluginu.cn
currentsession.net
Il malware scaricato ulteriore scaricare malware.

I file vengono aggiunti i seguenti cartella% Windir%:

% WinDir% \ system32 \ SPLM \ kbdsapi.dll
% WinDir% \ system32 \ SPLM \ lmfunit32.dll
% WinDir% \ system32 \ SPLM \ mcaserv32.dll
% WinDir% \ system32 \ SPLM \ ncsjapi32.exe
% WinDir% \ system32 \ nScan \ ecls.exe
% WinDir% \ system32 \ nScan \ ekrn.exe
% WinDir% \ system32 \ nScan \ ekrnAmon.dll
% WinDir% \ system32 \ nScan \ ekrnEmon.dll
% WinDir% \ system32 \ nScan \ ekrnEpfw.dll
% WinDir% \ system32 \ nScan \ ekrnScan.dll
% WinDir% \ system32 \ nScan \ em000_32.dat
% WinDir% \ system32 \ nScan \ em001_32.dat
% WinDir% \ validate.inf
Le chiavi di registro sono aggiunte le seguenti:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ Intelli Mouse Pro Version 2.0B \ StubPath: "% windir% \ System32 ncsjapi32.exe SPLM \ \"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ * Intelli Mouse Pro Version 2.0B *: "% windir% \ System32 ncsjapi32.exe SPLM \ \"
HKEY_USERS \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ nascoste: "2"
HKEY_USERS \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Intelli Mouse Pro Version 2.0B: "% windir% \ System32 ncsjapi32.exe SPLM \ \"
HKEY_USERS \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ * Intelli Mouse Pro Version 2.0B *: "% windir% \ System32 ncsjapi32.exe SPLM \ \"
HKEY_USERS \ Software \ Microsoft \ Windows \ nScan32 \ ExecuteDate: "14 \ 8 \ 2008"
File hosts viene modificato per disabilitare la macchina compromessa per accedere alla maggior parte dei siti web di sicurezza, come ad esempio:

ar.atwola.com
my-etrust.com
trendmicro.com
norton.com
nai.com
sophos.com
etc

W32/Koobface.worm si diffonde attraverso Facebook e MySpace. varianti corrente solo obiettivo o Facebook o MySpace specifico.

I seguenti file possono essere creati in funzione della variante (la filepath è hardcoded):

C: \ WINDOWS fbtre6.exe \
C: \ WINDOWS mstre6.exe \
C: \ WINDOWS f49f4d98.dat \
C: \ WINDOWS t49f4d98.dat \
C: \ WINDOWS fmark2.dat \
C: \ WINDOWS tmark2.dat \

Il worm in grado di connettersi al dominio di seguito per dare un comando post HTTP e ricevere le istruzioni per scaricare ed eseguire altri file malware.

Fonte: McAfee

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...