www.MegaLab.it

Analisi del Trojan

La struttura del trojan non è particolarmente complessa. L'infezione, infatti, è composta solamente da pochi e semplici file, che però non sono eliminabili con i metodi "tradizionali". Bisogna quindi adottare alcuni programmi che siano in grado di procedere alla completa eliminazione del Trojan e di tutti i suoi componenti.

Al momento dell'installazione del codec, il trojan crea la cartella MediaSupplyCodec, residente in C: \Programmi, e all'interno di essa crea alcuni file, la gran parte dei quali verrà presto eliminata.

• cnsqtkrsvr.exe
• install.ico
• imex.bat

Il file cnsqtkrsvr.exe guida tutta l'infezione. Infatti, si tratta del file che verrà eseguito a ogni avvio.

Il file install.ico è l'icona dell'installer del codec fasullo. Di per sé non è nocivo.

Il file imex.bat dà origine all'infezione; esso, infatti, amministra l'installazione dell'infezione.

L'ultimo file visto, imex.bat, esegue le seguenti operazioni:

• Copia il file cnsqtkrsvr.exe dalla cartella in cui risiedeva (MediaSupplyCodec) nei file temporanei dell'utente infetto (C: \Documents and Settings\%User%\Impostazioni Locali\Temp), lo elimina dal percorso di origine e quindi lo avvia dal percorso in cui lo ha copiato.
• Elimina il file che ha creato l'infezione, rimuovendo quindi il file imex.bat dalla cartella creata in Programmi.

La cartella usata come tramite per l'infezione rimane, dopo poco tempo, spoglia; vi si trova, infatti, solamente il file icona (install.ico), il che non desta nell'utente alcun sospetto. Anche visualizzando i file nascosti e di sistema, i risultati non cambiano, poiché i file nocivi sono stati spostati.