I P2P che nascondono sorprese…
Ieri è stata una giornata particolarmente calda e movimentata. Nel primo pomeriggio ricevo un sample di un nuovo trojan che sembra non individuato da molti software antivirus. Mi metto dunque a lavoro per cercare di capire cosa faccia.
Casualmente la sera stessa mi arriva un altro sample, molto simile a quello che stavo analizzando.
Il trojan in questione gira sotto differenti nomi e dimensioni, che variano tra 25600 bytes a 55511 bytes.
Una volta eseguito, il trojan copia sé stesso sotto la directory C:\Windows\system con il nome di smss.exe. Questo è un trucco conosciuto, infatti cerca di spacciarsi per un file legittimo di Windows. Con la differenza però che il file legittimo di Windows si trova sotto System32 e non sotto System.
Inoltre viene creato il file nvsvcd.exe sotto Windows\System32. Questo file non sembra essere dannoso, è un gestore di servizi e probabilmente serve al trojan per eseguire programmi da remoto. Alcuni antivirus tuttavia lo identificano.
Molto più interessante è smss.exe. Il trojan ha infatti funzioni di backdoor. Per eseguirsi all’avvio aggiunge la seguente chiave di registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“.nvsvc” = C:\WINDOWS\system\smss.exe /w
Una volta eseguito tenta di iniettarsi all’interno del processo svchost.exe, per cercare di nascondere la propria attività. Apre una porta tcp random e si connette ad un server IRC remoto, da dove attende comandi da remoto.
Una mia analisi completa, in inglese, è scaricabile da qui
