Isolato trojan Skype

Ho ricevuto pochissime ore fa un sample di un nuovo malware che si diffonde attraverso Skype. Più persone stiamo lavorando a questo caso - complesso per l’utilizzo di un nuovo packer, denominato Metamorphism Portable Executable (PE) Packer and Protector - altresì conosciuto con il nome commerciale di NTKrnl Security Suite - prodotto dalla NTkrnl Software, Inc

Il trojan, dal nome SP.EXE e dalle dimensioni di 116.224 bytes, si diffonde attraverso i contatti Skype e una volta eseguito crea i seguenti file:

C:\WINDOWS\System32\wmp.exe
C:\WINDOWS\System32\wmp

e le seguenti chiavi di registro:

HKEY_CURRENT_USER\Software\Microsoft\esEvcBko

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2D0CCE2D-2EEF-4432-0503-020002010803}

Crea un mutex _wmp_ per evitare più istanze di sé stesso in esecuzione e, una volta creato il file, si inietta nel processo explorer.exe. Comunica verso dei server esteri, verso dei domini .no-ip.com e .no-ip.biz. Al momento la Vitalwerks Internet Solutions, proprietaria del servizio no-ip, avrebbe chiuso quei domini. Il trojan fa uso delle librerie standard di Windows per criptare il traffico verso internet.

Per diffondersi attraverso i contatti Skype il trojan scarica da un determinato sito web - tra quelli sopra citati - alcune API di Skype, delle istruzioni fornite da Skype per lo sviluppo di applicazioni atte a interagire con il programma stesso.

Il trojan ha funzioni di keylogging, registra i tasti premuti sulla tastiera nel file wmp creato sotto la directory di sistema. Quindi il worm contiene una componente trojan, utilizzata per rubare password o dati sensibili sui pc infetti.

Il trojan è identificato al momento come: Trojan.Skpe, W32/SkpeMalware.A, W32/Backdoor.WAC, Win32/Elife.A, Trojan.Win32.Pakes (definizione generica quando vengono individuati strani packer)

[La notizia è stata in parte riscritta per correggere / aggiungere alcune informazioni]

Scritto il 19 Dicembre 2006


12 Responses to “Isolato trojan Skype”


  1. Lucass
    Dicembre 19th, 2006 at 08:51

    http://blogs.pandasoftware.com/blogs/pandalabs/archive/2006/12/18/Skype-or-sk_2D00_hype-worm_3F00_.aspx

    Da come leggo,le aziende hanno per le mani il sample quindi anche eventuali aggiornamenti,grazie a Dio!

    Ciao

    Gianluca


  2. Fabrizio Alberti
    Dicembre 19th, 2006 at 11:08

    Ciao Marco! Io questo SP.EXE, forse un nome comune ad altro, l’ho visto circa una settimana fa, navigando “senza protezioni (ovvero senza gli ultimi SP per windows 2000″ per qualche minuto.

    Ci sta che sia in giro da tempo!


  3. netquik
    Dicembre 19th, 2006 at 18:58

    Ciao
    A quanto pare non è proprio u worm ma un Trojan

    http://www.websense.com/securitylabs/alerts/alert.php?AlertID=716


  4. Marco
    Dicembre 19th, 2006 at 19:46

    Esattamente, ne stavo parlando proprio oggi con Rossano stesso perché ieri sera me l’avevano fatto passare come worm ma analizzandolo, e poi anche oggi, avevo i miei dubbi si trattasse di un worm poiché mostrava esclusivamente funzionialità da trojan. Ora comunque aggiorno il post, mi scuso di non averne avuto tempo oggi ma le macchine da lavoro mi hanno momentaneamente abbandonato e non ho avuto tempo di sistemarle fino ad ora.

    Marco


  5. Gianni Amato
    Dicembre 20th, 2006 at 01:29

    Un nuovo Trojan/Worm si propaga tramite Skype.

    La notizia arriva dal blog di Websense Security Labs che segnala la presenza in rete di un nuovo ..continua


  6. Silvius
    Dicembre 21st, 2006 at 10:12

    E i rimedi? Disinstallando Skype si risolve o bisogna rimuovere i file sopra citati uno per uno?
    Grazie e auguri di Buone Feste.
    Silvius


  7. Paolo
    Gennaio 22nd, 2007 at 20:28

    Da qualche giorno, inspiegabilmente, al boot mi è cominciato ad apparire per pochi istanti il popup “NTkrnl secure suite”. Contemporaneamente il Task Manager ha perso la visualizzazione/gestione dei processi (visualizza solo i task) ed ha perso persino i comandi Minimize/Restore Down/Close. Non ho mai avuto nulla a che fare con Skipe, non trovo da nessuna parte nè SP.EXE, nè WMP.EXE ed anche il Norton Antivirus, aggiornato, non trova nulla.
    Il sistema appare comunque disturbato, particolarmente nelle funzioni di comunicazione: che diavolo sta succedendo?


  8. Daniele
    Febbraio 16th, 2007 at 18:38

    Ma esistono già delle soluzioni per poter rimuovere questo trojan?

    Basta eliminare i file e le chiavi di registro?


  9. Alessio
    Maggio 20th, 2007 at 16:49

    ciao come posso eliminare NTkrnl mi spunta ogni volta ke accendo il pc aiutatemi ,,,,,,,,,,,,,,


  10. robert
    Giugno 14th, 2007 at 19:41

    hi all.


  11. luca
    Giugno 15th, 2007 at 17:15

    ciao come posso fare per eliminare NTkrnl? ogni volta che accendo il pc mi appare l’immagine.è un virus?


  12. lU
    Agosto 11th, 2007 at 17:40

    a me non è arrivato tramite skype ma attraverso msn… come si fa a toglierlo?

Lascia un commento

« Alcuni aggiornamenti sul caso ADSL
Next: PC Al Sicuro si allarga »