FAQ
F.A.Q.
Domande - Risposte
Delf.VE
Internet Provider
Software
Home Page
Internet Provider
Mail Marketing
mail marketing
Preventivi
preventivi Internet
Supporto
supporto tecnico
Sms Web
sms da web
Download
download
Corsi Aziendali
corsi
Lavoro
lavoro
Pagamenti
pagamenti
Condizioni
Internet Provider
 
FAQ
faq
News
news
Applicativi asp
Motomania

Delf.VE

Il cavallo di troia con funzioni di backdoor e contenuto all'interno di installatore creato con la nota applicazione Wise, commercializzata da Wise Solutions. L’installatore contiene tre file

vacanze.exe – un’applicazione lunga 580.273 byte, scritta con Macromedia Flash Player 5.0, che ha il compito di visualizzare sullo schermo un’animazione, avente lo scopo di ingannare l’utente sulla reale natura del pacchetto.

naz.exe – un’applicazione scritta con il compilatore Borland Delphi lunga 472.385 byte. Questo programma usa diverse DLL installate dalla backdoor ed e connesso con attivita di logging delle attivita dell’utente. Durante l’installazione, questo programma viene rinominato in “Win Const.exe” e monitora tasti premuti dell’utente e dati copiati negli Appunti (clipboard) di Windows.

real.exe – un programma scritto con il compilatore Borland Delphi lungo 103.380 byte e compresso con Neolite. Questo componente rappresenta la backdoor, che comunica con l’esterno mettendosi in ascolto sulle porte TCP 7500 e UDP 1027.

Quando viene eseguito, l’installatore Wise crea i seguenti file

c:\Documents and Settings\All Users.WINNT\Dati applicazioni\emopts.dat
c:\Programmi\INSTALL.LOG
c:\Programmi\vacanze.exe
c:\Programmi\winlogon.exe
c:\WINNT\real.exe
c:\WINNT\test.tmp
c:\WINNT\system32\Win Types\1.mzp
c:\WINNT\system32\Win Types\Win Const.exe
c:\WINNT\system32\Win Types\Win Const0.idx
c:\WINNT\system32\Win Types\Win Const00.dll
c:\WINNT\system32\Win Types\Win Const1.dat
c:\WINNT\system32\Win Types\Win Const5.dll
c:\WINNT\system32\Win Types\1\Win Const.dll

Le cartelle

c:\Documents and Settings\All Users.WINNT\Dati applicazioni
c:\Programmi
c:\WINNT
c:\WINNT\system32

possono variare a seconda delle impostazioni, delle versione e della lingua del sistema operativo.

Vengono create anche le seguenti cartelle

c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\1
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\2
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\3
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\4
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\EI
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\EO
c:\WINNT\system32\Win Types
c:\WINNT\system32\Win Types\1

Viene seguito il programma winlogon.exe (da non confondere con l’omonima applicazione di sistema di Windows responsabile del processo di login dell’utente) rimane residente in memoria e si mette in ascolto sulle porte TCP e UDP descritte sopra. Il programma crea un mutex con il nome SpyAgent_HWND32.
E’ eseguito anche il programma vacanze.exe, che mostra sullo schermo un’animazione Flash interattiva.

Allo scopo di venire eseguita in automatico ad ogni avvio del sistema, la backdoor crea le seguenti chiavi di Registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" Srv32Win"=C:\Programmi\winlogon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" Wincfg"="C:\WINNT\System32\Win Types\Win Const.exe"


faq Indietro

 
Home | Chi Siamo | Contatti | Internet Provider | Software House | Active Web | Web Marketing | SMS | Realizzazioni | Preventivi | Supporto | Lavoro | Condizioni
RD Informatica - Str. Rupola 14 - 61122 Pesaro PU - Tel 0721 206238 Fax 0721 1835042 P.Iva 01241970415 - info@rdinformatica.com 
Estrattore Pagine Gialle
Applicativi asp
RD
Applicativi asp
Internet provider
Software House
Applicativi asp
SMS Web
Software SMS
Mailing Project