recovery italia punti di forza

Anti child Spam Porn Protection Process

Questo Documento è stato scritto dopo il disassemblamento del virus lsassw86s.exe.
Il virus è stato compilato con PureBasic ed è progettato per rendere una eventuale decompilazione assai ardua.
Il Virus non risulta essere dannoso se non installato come servizio sul computer infetto.
E' quindi possibile montare la partizione infetta su un diverso sistema senza rischi.



Struttura e funzionamento del Virus
Il virus posiziona i propri eseguibili di base nella directory c:windowssystem32

cfwin32.dll
Eseguibile in Dos di winrar
Durante l'esecuzione del virus verrà rinominato scvhost per confondersi all'interno dei processi
svchost.exe verrà chiamato via riga di comando con thread separati.

default2.sfx
Viene utilizzato da winrar come pattern per gli archivi sfx creati

scsvserv.exe
Azione sulle seguenti chiavi di registro

 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "CrashDumpEnabled" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "LogEvent" /t REG_DWORD /d 0 /f"
 "reg delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsWindows Error ReportingLocalDumps" /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableArchive" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableQueue" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DontSendAdditionalData" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "ForceQueue" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "LoggingDisabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "AllOrNone" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "DoReport" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ForceQueueMode" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeKernelFaults" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeMicrosoftApps" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeShutdownErrs" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ShowUI" /t REG_DWORD /d 0 /f"
 "reg delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /va /f"
 "reg delete HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun /va /f"

Funzionamento lsassw86s.exe
Il virus core lsassw86s.exe funziona essenzialmente se il servizio scsvserv.exe è attivo.
Abbiamo realizzato una versione del virus completamente ristrutturata in modo da essere avviabile manualmente.

Le azioni del virus:
1) Verifica sul sistema della presenza del file stppthmainfv.dll
2) Per ogni step di funzionamento il virus crea dei files dissimulatori con chiavi statiche 3423434534512333466576743532423423545657567657465345345234234
3) Vengono eseguite le copie dell'eseguibile rar e sdelete
4) L'identificativo del virus è relativo ad informazioni sul serial number delle partizioni del sistema es (  funzione408c98.txt(!! to get password email id 2084785982 to italyhelp1@gmail.com !!).exe )
5) Viene creata una prima chiave casuale in un array di 144 caratteri in memoria.
6)  Viene creato un codice con questo metodo Key =  ThreadID XOR GetTicksCount()
7)  Vengono richieste 3 sleep call e moltiplicati i valori di GetTicksCount();
8)  Infine viene creata una stringa numerica con i valori accodando un prodotto tra i cast del MMÝ per HH%%mm%ss
9) Viene Chiamata una funzione ricorsiva a spostamento dinamico dell'array 144 che posiziona dinamicamente un cursore sull'array statico abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^
Recovery Italia

Sedi Operative
Procedura recupero dati
Richiesta Pickup
Richiesta Assistenza
Listino Prezzi
Preventivo ON LINE
Contatto

Risorse

Blog Recovery Italia
Faq Recovery Italia
Training

Social Network

Recovery Italia on Twitter
Recovery Italia Roma on Google+
Recovery Italia Roma Centro on Google+
Recovery Italia Milano

Servizi Data Recovery

Hard Disk Drive
Hard Disk USB
Pen Drive USB
Enterprise Servers
Sistemi RAID
NAS & DAS
Cellulari e Smartphone

Prodotti Software

Mobile Data Rescue
WhatsApp Data Recovery
iPhone Data Recovery
Challenger Rocket
Challenger PCI Board

Tecnologia

Tecnologia
Camera Bianca
ChallengerOS

Data Recovery Service 2019 © tutti i diritti riservati

Data Recovery Service
Via Fosso Centroni 4
00118 Roma Italy
PIVA 09711641002
info@recoveryitalia.it
+39 06 98357672


Recovery Italia Roma Centro ( Piazza della Repubblica )
Via Antonio Salandra 18
00187 Roma Italy
info@recoveryitalia.it
800.178.951


Recovery Italia Sede di Milano
Via Santa Maria Valle 3
21220 Milano Italy
info@recoveryitalia.it
+39 02 00611518
recoveryitalia


Recovery Italia Sede di Torino
Via San Francesco d’assisi 22
10121 Torino Italy
info@recoveryitalia.it
800.178.951

Informativa Privacy e Trattamento Dati aggiornamento 2018