Need help? Ask the community or hire an expert.
Go to Avira Answers
Nome del virus:TR/Agent.262144.34
Scoperto:09/12/2010
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Basso
Dimensione del file:258560 Byte
Somma di controllo MD5:dfe23ad3d50c1cf45ff222842c7551ae
Versione VDF:7.10.06.239
Versione IVDF:7.10.14.241 - giovedì 9 dicembre 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Bublik.iez
   •  Eset: a variant of Win32/Injector.XHP trojan
     DrWeb: Trojan.Packed.23284


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\wmpsl64.exe

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Media Scheduler"="c:\windows\\system32\\wmpsl64.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\windows\\system32\\wmpsl64.exe"="c:\windows\\system32\\wmpsl64.exe:*:Enabled:Windows Media Scheduler"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "c:\windows\\system32\\wmpsl64.exe"="c:\windows\\system32\\wmpsl64.exe:*:Enabled:Windows Media Scheduler"

 Varie Event handler:
Crea i seguenti Event handler:
   • WriteProcessMemory
   • CreateRemoteThread
   • createProcess
   • CreateFile
   • GetDriveType


Stringa:
In pi contiene le seguenti stringhe:
   • PRIVMSG
   • JOIN
   • NICK
   • PASS
   • USER

Description inserted by Wensin Lee on Thursday, October 4, 2012
Description updated by Wensin Lee on Thursday, October 4, 2012

Back . . . .