Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Fakealert.C.17
Descoperit pe data de:15/10/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:171.024 Bytes
MD5:d6084176f7ef6ff28c544e7a9f8adb94
Versiune IVDF:7.01.06.114 - joi, 15 octombrie 2009

 General Alias:
   •  Mcafee: W32/Autorun.worm
   •  Panda: W32/Autorun.JPK
   •  Eset: Win32/AutoRun.Agent.TK
   •  Bitdefender: Worm.Generic.95428


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\RCX3.tmp



Sunt create fisierele:

%SYSDIR%\abfdcfedc.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Agent.wif.9

%TEMPDIR%\3fafa40407f9b420eaff07c821171795.exe



Incearca sa descarce un fisier:

Adresa este urmatoarea:
   • http://wl.ddkrss.com/v308/**********?msg=Z6LsdX5H8Xy4qJ4RzAWD1XKcLXF5KD1TcGyz%2BNYlo5rl4JI8qF41GsB84SqyUSOukXM87NAFGaZXa#EAC%2BcYT01HmEUrNgHLK9qx9n5r7HxGnGYDS2pzvMb9p3cv47eX
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="%character string%"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lk"
   • "Logoff"="lk"
   • "Logon"="lk"
   • "Shutdown"="lk"
   • "StartScreenSaver"="lk"
   • "StartShell"="g"
   • "Startup"="lk"
   • "StopScreenSaver"="lk"
   • "Unlock"="lk"

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, March 5, 2010
Description updated by Petre Galan on Friday, March 5, 2010

Back . . . .