Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Drop.Agent.BE
Scoperto:13/12/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:731.938 Byte
Somma di controllo MD5:9b9182f439b5ad9c6d9d49bf62bb8c18
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  TrendMicro: TROJ_MULTIDRP.EC
   •  Bitdefender: Trojan.Multidr.EI


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file maligni
   • Duplica file maligni
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\ssdpcl.dll
%SYSDIR%\XNET.EXE Viene eseguito ulteriormente dopo che stato completamente creato.
%SYSDIR%\ssdpcl.exe Viene eseguito ulteriormente dopo che stato completamente creato.
%SYSDIR%\install.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file contiene le informazioni recuperate riguardo al sistema.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\SSDPCL]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\ssdpcl.exe"
   • "DisplayName"="SSDP Controller"
   • "ObjectName"="LocalSystem"
   • "Description"="Provides Control for the SSDP Discovery Service."

[HKLM\SYSTEM\CurrentControlSet\Services\SSDPCL\Security]
   • "Security"=%valori esadecimali%

[HKLM\SYSTEM\CurrentControlSet\Services\SSDPCL\Enum]
   • "0"="Root\\LEGACY_SSDPCL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDPCL]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDPCL\0000]
   • "Service"="SSDPCL"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="SSDP Controller"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDPCL\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="SSDPCL"

[HKCR\ABManager.AddressBooksManager]
   • @="AddressBooksManager Class"

[HKCR\ABManager.AddressBooksManager\CLSID]
   • @="{F55B4E8D-ECFF-11D3-BCE1-0004AC961EA6}"

[HKCR\ABManager.AddressBooksManager\CurVer]
   • @="ABManager.AddressBooksManager.1"

 Backdoor Viene aperta la seguente porta:

ssdpcl.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

Capacit di controllo remoto:
     Cancella il file
     Download di file
     Eseguire file
     Terminare il processo
     Effettuare un reindirizzamento delle porte
     Riavviare il sistema
     Arrestare il sistema
     Terminare il processo
     Carica un file
     Visitare un sito web

Descrizione inserita da Catalin Jora su lunedì 5 settembre 2005
Descrizione aggiornata da Catalin Jora su venerdì 9 settembre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.