Nome del virus:TR/Ransom.A.1
Scoperto:26/04/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:No
Versione VDF:6.34.01.12

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Ransom.a
   •  TrendMicro: TROJ_RANSOM.A
   •  Sophos: Troj/Ransom-A

Precedentemente individuato come:
   •  TR/Ransom.A


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”


Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:




Le immagini sono state modificate per la visualizzazione.

 File Vengono creati i seguenti file:

%directory di esecuzione del malware%\004.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\005.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\006.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\007.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\008.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\009.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\svchost.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\data3.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.1

%directory di esecuzione del malware%\data2.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.2

%directory di esecuzione del malware%\data4.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Ransom.A.3

%directory di esecuzione del malware%\dat1.bat
%SYSDIR%\wpd.exe Riconosciuto come: TR/Ransom.A.1

%SYSDIR%\ShudownUtility.exe

 Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\OZ Development\Applications\002.exe\Win1]
   • "x"=dword:00000008
   • "y"=dword:00000000
   • "width"=dword:000003f0
   • "height"=dword:0000030c
   • "zoomed"=dword:00000000

Descrizione inserita da Andrei Ivanes su martedì 2 maggio 2006
Descrizione aggiornata da Andrei Ivanes su martedì 2 maggio 2006

Indietro . . . .