Xrupter

 

Xrupter è un cavallo di Troia che codifica i file presenti nel computer infettato.

 

Il file ha una lunghezza di 139264 e di 94208 byte

 

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003.

 

Quando si esegue, il Trojan crea il seguente file

%Sysdir%\fpfstb.dll


Allo scopo di essere eseguito a ogni avvio di Windows, il cavallo di Troia crea la seguente chiave di Registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = " %Sysdir%\fpfstb.dll"


Successivamente, il malware crea le seguenti chiavi di Registro

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\keyboard\advanced\"core_installed" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\keyboard\advanced\"id" = "[32 CARATTERI A CASO]"


Il Trojan, poi, modifica le seguenti chiavi di Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\"Start" = "4"


Successivamente, per segnalare l’avvenuta infezione a un utente remoto malintenzionato, il malware accede al seguente indirizzo URL

http://filefixpro.com/public/stat.php?cmd=installs&uid=[CARATTERI ESADECIMALI]&id="[20 CARATTERI A CASO]"


Il cavallo di Troia cerca i file con le seguenti estensioni all’interno della cartella Documenti

  • doc
  • xls
  • ppt
  • pdf
  • jpg
  • jpeg
  • png
  • mp3
  • wma
  • mdb
  • pst
  • docx
  • docm
  • dotx
  • dotm
  • xlsx
  • xlsm
  • xltx
  • xltm
  • xlsb
  • xlam
  • pptx
  • pptm
  • potx
  • potm
  • ppam
  • ppsx
  • ppsm


Il cavallo di Troia codifica tutti i file trovati.

Successivamente, il Trojan accede al seguente indirizzo URL per caricare il numero di file che è stato codificato

http://filefixpro.com/public/stat.php?cmd=files&uid=[CARATTERI ESADECIMALI]&ext=[ESTENSIONE FILE].[NUMERO DI FILE CODIFICATI]


Successivamente, il cavallo di Troia mostra il seguente messaggio

Titolo
System Message

Testo del messaggio

Windows has detected that the following files seems to be corrupted. To prevent future data corruption, click Repair button below.


Quando viene aperto uno dei file codificati, il Trojan può mostrare il seguente messaggio

Titolo
Error

Testo del messaggio
Application can't open the file due to data corruption
Error 0x[CARATTERI A CASO]: Invalid header sequence.
Corrupted block: [CARATTERI A CASO]


Il malware apre il seguente indirizzo URL nel browser Internet predefinito

[http://]filefixpro.com/public/stat[RIMOSSO]


Il cavallo di Troia scarica un programma dal seguente indirizzo URL

[http://]filefixpro.com/public/downlo[RIMOSSO]


Infine, il Trojan può mostrare i seguenti messaggi nella system tray (l’area in basso a destra della barra degli strumenti di Windows)

Titolo
Windows File Protection

Testo del messaggio

Windows detected that some of your MS Office and media files are corrupted. Click here to download and install recommended file repair application.

Titolo
FileFix Professional 2009


Testo del messaggio
Please, register your copy of FileFix Professional 2009 to repair all corrupted files. Click here to open Buy now page.

 

 

 

 
Testo a cura di Paolo Monti e Future Time S.r.l. - Ultima modifica: 24.03.2009
 
NOD32 Virus Enciclopedia
© 1992-2010 Eset s.r.o e Future Time S.r.l. Tutti i diritti riservati. Nessuna parte di questa Enciclopedia può essere riprodotta, trasmessa o usata in modo diverso in qualsiasi forma o mezzo senza previa autorizzazione.