Nome del virus:TR/KillAV.FT
Scoperto:27/09/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:98.304 Byte
Somma di controllo MD5:e7ea0b0fac0d30110346912c02f14f50
Versione VDF:6.32.0.45

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.KillAV.ft
   •  VirusBuster: Trojan.KillAV.CE
   •  Bitdefender: Trojan.Win32.KillAV.FT


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file
   • Abbassa le impostazioni di sicurezza

 File Si copia alla seguente posizione:
   • %ALLUSERSPROFILE%\start menu\programs\startup\office.exe



Copia i seguenti file:
    •  %directory di esecuzione del malware%\data.dat in %TEMPDIR%\setup.msi
    •  %directory di esecuzione del malware%\setup.dat in %TEMPDIR%\setup.exe
    •  %directory di esecuzione del malware%\setup.ini in %TEMPDIR%\setup.ini



Cancella i seguenti file:
   • %TEMPDIR%\setup.msi
   • %TEMPDIR%\setup.exe
   • %TEMPDIR%\setup.ini
   • C:\temp\ftp.txt
   • %WINDIR%\up.bat
   • C:\temp\un.reg



Vengono creati i seguenti file:

%WINDIR%\up.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
– C:\temp\ftp.txt



Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • 16286.**********com/update.exe
   • 19427.**********com/update.exe
   • 20984.**********com/update.exe
   • 2441.**********com/update.exe
   • 31615.**********com/update.exe
   • 33895.**********com/update.exe
   • 3556.**********com/update.exe
   • 40293.**********com/update.exe
   • 4368.**********com/update.exe
   • 44628.**********com/update.exe
   • 45612.**********com/update.exe
   • 54668.**********com/update.exe
   • 55846.**********com/update.exe
   • 58275.**********com/update.exe
   • 58949.**********com/update.exe
   • 6118.**********com/update.exe
   • 62708.**********com/update.exe
   • 67414.**********com/update.exe
   • 69655.**********com/update.exe
   • 70411.**********com/update.exe
   • 72170.**********com/update.exe
   • 75858.**********com/update.exe
   • 78401.**********com/update.exe
   • 82935.**********com/update.exe
   • 83859.**********com/update.exe
   • 84483.**********com/update.exe
   • 88198.**********com/update.exe
   • 90926.**********com/update.exe
   • 95304.**********com/update.exe
   • 99956.**********com/update.exe
   • bzeva.**********org/update.exe
   • jzcva.**********org/update.exe
   • updates.**********org/update.exe
   • zcava.**********org/update.exe
Viene salvato in locale sotto: C:\temp\update.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

– Le posizioni sono le seguenti:
   • 16286.**********com/un.reg
   • 19427.**********com/un.reg
   • 20984.**********com/un.reg
   • 2441.**********com/un.reg
   • 31615.**********com/un.reg
   • 33895.**********com/un.reg
   • 3556.**********com/un.reg
   • 40293.**********com/un.reg
   • 4368.**********com/un.reg
   • 44628.**********com/un.reg
   • 45612.**********com/un.reg
   • 54668.**********com/un.reg
   • 55846.**********com/un.reg
   • 58275.**********com/un.reg
   • 58949.**********com/un.reg
   • 6118.**********com/un.reg
   • 62708.**********com/un.reg
   • 67414.**********com/un.reg
   • 69655.**********com/un.reg
   • 70411.**********com/un.reg
   • 72170.**********com/un.reg
   • 75858.**********com/un.reg
   • 78401.**********com/un.reg
   • 82935.**********com/un.reg
   • 83859.**********com/un.reg
   • 84483.**********com/un.reg
   • 88198.**********com/un.reg
   • 90926.**********com/un.reg
   • 95304.**********com/un.reg
   • 99956.**********com/un.reg
   • bzeva.**********org/un.reg
   • jzcva.**********org/un.reg
   • updates.**********org/un.reg
   • zcava.**********org/un.reg
Viene salvato in locale sotto: C:\temp\un.reg Al momento dell'analisi questo file non era più disponibile.

 Processi terminati Lista dei processi che vengono terminati:
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\zlclient.exe
   • McDetect.exe
   • McTskshd.exe
   • mcupdmgr.exe
   • SpySweeper.exe


I seguenti servizi vengono disattivati:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • McAfee Personal Firewall Service
   • mcshield
   • Norton AntiVirus Auto Protect Service
   • norton antivirus firewall monitor service
   • Security Center
   • Sygate Personal Firewall
   • Webroot Spy Sweeper Engine
   • Windows Firewall/Internet Connection Sharing (ICS)

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Irina Boldea su martedì 27 settembre 2005
Descrizione aggiornata da Irina Boldea su venerdì 30 settembre 2005

Indietro . . . .