Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Tcom.2
Scoperto:13/12/2012
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:26.624 Byte
Somma di controllo MD5:8e3cf147f6d642b4e0808cec743d856e
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\windldra.exe



Cancella il seguente file:
   • %WINDIR%\send_logs_trigger



Vengono creati i seguenti file:

%WINDIR%\netdx.dat Questo file funge da flag per una procedura interna.
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm Questo file contiene le battute di tastiera recuperate.
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\software\sars\]
   • "SocksPort"=dword:%stringa di caratteri casuale%

[HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 Host L'host del file viene modificato come spiegato:

In questo caso i dati immessi gi esistenti non vengono modificati.

L'accesso ai seguenti domini effettivamente bloccato:
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




L'host del file modificato sar del tipo:


 Backdoor Le seguenti porte sono aperte:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server proxy.
%file eseguiti% sulla porta TCP 9125 con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Il seguente:
   • http://222.36.41.**********/system32/logger.php

Come risultato pu inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
     File LOG creati
     Informazioni sulla rete
     ID della piattaforma

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

Le password dai seguenti programmi:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di tracciamento:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

 Cattura:
     Battute di tastiera
     Informazioni della finestra
     Finestra del browser
     Informazioni di login

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • Internet Explorer


Descrizione inserita da Sergiu Oprea su mercoledì 3 agosto 2005
Descrizione aggiornata da Oliver Auerbach su martedì 18 ottobre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.