Need help? Ask the community or hire an expert.
Go to Avira Answers
Nome del virus:TR/Rogue.KD.923372
Scoperto:02/04/2013
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
Dimensione del file:146944 Byte
Somma di controllo MD5:fc077d70131dfe1b77262abf91423479
Versione VDF:7.11.68.146 - martedì 2 aprile 2013
Versione IVDF:7.11.68.146 - martedì 2 aprile 2013

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Sophos: Troj/Bdoor-BEZ
   •  Bitdefender: Trojan.Generic.KD.923372
   •  Eset: a variant of Win32/Injector.AERC trojan
     DrWeb: Trojan.DownLoad.64636


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %Temp%\%stringa di 10 caratteri casuali%.pre
   • %Temp%\%stringa di caratteri casuale%\%stringa di 10 caratteri casuali%.exe
   • C:\run\sample.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %Temp%\%stringa di 10 caratteri casuali%.pre
   • C:\run\sample.exe

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%Temp%\\%stringa di caratteri casuale%\\%stringa di caratteri casuale%.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%Temp%\%10 random character string%.pre;"

 Come il virus si inserisce nei processi     Tutti i seguenti processi:
   • %SYSDIR%\ctfmon.exe
   • %SYSDIR%\svchost.exe


 Varie Event handler:
Crea i seguenti Event handler:
   • IsProcessorFeaturePresent
   • IsDebuggerPresent
   • CreateFile

Description inserted by Wensin Lee on Wednesday, April 3, 2013
Description updated by Wensin Lee on Wednesday, April 3, 2013

Back . . . .