mercoledì 1 settembre 2010

Rootkit Win.32 TDSS







Si tratta di un cavallo di Troia che apre una backdoor nel computer infettato.

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003.

Il Trojan può contenere anche un’icona cinematografica.

Quando si esegue, il cavallo di Troia rilascia e esegue i seguenti file
%Temp%\file.exe (Tdiserv)
%Temp%\e-card.exe (Virantix.C)

Allo scopo di evitare che nella memoria di sistema siano attive più istanze di se stesso, il worm crea un mutex con il nome
\TdlStartMutex

Successivamente, il Trojan crea il seguente file
%Temp%\TDSS[FILE CON CARATTERI A CASO 1].tmp

Il malware crea il seguente evento
\TDKD

Il Trojan copia il file %Sysdir%\ADVAPI32.DLL nel seguente percorso

%Temp%\TDSS[FILE CON CARATTERI A CASO 2].tmp

Il cavallo di Troia modifica 21 byte di questo file così da poter usare un servizio di Windows per eseguire il suo codice.

Successivamente, il Trojan elimina il seguente oggetto del sistema operativo Windows
\KnownDlls\advapi32.dll

La sezione link di questo oggetto viene modificata così da puntare al seguente file
%Temp%\TDSS[FILE CON CARATTERI A CASO 2].tmp

Il Trojan, poi, crea di nuovo il seguente oggetto
\KnownDlls\advapi32.dll

Successivamente, il malware termina e riavvia il seguente servizio di Windows
MSISERVER

Questo servizio esegue il programma msiexec.exe e anche il file

TDSS[CARATTERI A CASO 2].tmp.

Il Trojan crea il seguente driver rootkit

%Sysdir%\drivers\TDSServ.sys

Per eseguire il rootkit anche in modalità provvisoria, il Trojan lo registra come un servizio creando le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSServ.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSServ.sys

Il malware crea anche le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\version
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\connections
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\disallowed
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\injector

Il Trojan crea le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\"build" = "standart"
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\"serversdown" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS\"type" = "popup"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata\"affid" = "39"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata\"asubid" = "v2test7"

Il rootkit nasconde tutti i file e gli elementi del Registro che iniziano con la seguente stringa
TDS

Successivamente, il Trojan rinomina il file %Temp%\file.exe con il seguente nome e poi lo elimina
%Temp%\TDSS[[FILE CON CARATTERI A CASO 3].tmp

Il malware può creare anche alcuni dei seguenti file
%Sysdir%\TDSSerrors.log
%Sysdir%\TDSSservers.dat
%Sysdir%\TDSSl.dll
%Sysdir%\TDSSlog.
%Sysdir%\TDSSmain.dll
%Sysdir%\TDSSinit.dll
%Sysdir%\TDSSlog.dll
%Sysdir%\TDSSadw.dll
%Sysdir%\TDSSpopup.dll
%Sysdir%\TDSSpopup[NUMERO A CASO].url

Il Trojan inietta un’operazione backdoor nel processo SVCHOST.EXE e tenta di contattare i seguenti indirizzi remoti
[http://]updatepanel.us/ctl/crcmds/ma[RIMOSSO]
[http://]stableclick.com/ctl/crcmds/ma[RIMOSSO]
[http://]stableclick2.com/ctl/crcmds/ma[RIMOSSO]
[http://]updatemic0.com/ctl/crcmds/ma[RIMOSSO]
[http://]updatemic1.cn/ctl/crcmds/ma[RIMOSSO]

Infine, il cavallo di Troia può compiere le seguenti azioni
Mostrare pop up pubblicitari
Mostrare pubblicità non desiderate
Installare ulteriori programmi nel computer infettato

Fonte: Nod32

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...