Il cavallo di troia con funzioni di backdoor e contenuto all'interno di installatore creato con la nota applicazione Wise, commercializzata da Wise Solutions. L’installatore contiene tre file
vacanze.exe – un’applicazione lunga 580.273 byte, scritta con Macromedia Flash Player 5.0, che ha il compito di visualizzare sullo schermo un’animazione, avente lo scopo di ingannare l’utente sulla reale natura del pacchetto.
naz.exe – un’applicazione scritta con il compilatore Borland Delphi lunga 472.385 byte. Questo programma usa diverse DLL installate dalla backdoor ed e connesso con attivita di logging delle attivita dell’utente. Durante l’installazione, questo programma viene rinominato in “Win Const.exe” e monitora tasti premuti dell’utente e dati copiati negli Appunti (clipboard) di Windows.
real.exe – un programma scritto con il compilatore Borland Delphi lungo 103.380 byte e compresso con Neolite. Questo componente rappresenta la backdoor, che comunica con l’esterno mettendosi in ascolto sulle porte TCP 7500 e UDP 1027.
Quando viene eseguito, l’installatore Wise crea i seguenti file
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\emopts.dat
c:\Programmi\INSTALL.LOG
c:\Programmi\vacanze.exe
c:\Programmi\winlogon.exe
c:\WINNT\real.exe
c:\WINNT\test.tmp
c:\WINNT\system32\Win Types\1.mzp
c:\WINNT\system32\Win Types\Win Const.exe
c:\WINNT\system32\Win Types\Win Const0.idx
c:\WINNT\system32\Win Types\Win Const00.dll
c:\WINNT\system32\Win Types\Win Const1.dat
c:\WINNT\system32\Win Types\Win Const5.dll
c:\WINNT\system32\Win Types\1\Win Const.dll
Le cartelle
c:\Documents and Settings\All Users.WINNT\Dati applicazioni
c:\Programmi
c:\WINNT
c:\WINNT\system32
possono variare a seconda delle impostazioni, delle versione e della lingua del sistema operativo.
Vengono create anche le seguenti cartelle
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\1
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\2
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\3
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\4
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\EI
c:\Documents and Settings\All Users.WINNT\Dati applicazioni\sacache\EO
c:\WINNT\system32\Win Types
c:\WINNT\system32\Win Types\1
Viene seguito il programma winlogon.exe (da non confondere con l’omonima applicazione di sistema di Windows responsabile del processo di login dell’utente) rimane residente in memoria e si mette in ascolto sulle porte TCP e UDP descritte sopra. Il programma crea un mutex con il nome SpyAgent_HWND32.
E’ eseguito anche il programma vacanze.exe, che mostra sullo schermo un’animazione Flash interattiva.
Allo scopo di venire eseguita in automatico ad ogni avvio del sistema, la backdoor crea le seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" Srv32Win"=C:\Programmi\winlogon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" Wincfg"="C:\WINNT\System32\Win Types\Win Const.exe"