Nome del virus:TR/Click.VB.PF
Scoperto:12/09/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:22.528 Byte
Somma di controllo MD5:9fb4d2300fafec7989db659fbf73ac8a
Versione VDF:6.35.01.215
Versione IVDF:6.35.01.219 - mercoledì 13 settembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.VB.pf
   •  TrendMicro: TROJ_VB.BKM
   •  F-Secure: Trojan-Clicker.Win32.VB.pf
   •  Grisoft: Clicker.CWG
   •  Eset: Win32/TrojanClicker.VB.OO


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Duplica un file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %WINDIR%\Services.exe



Viene creato il seguente file:

%directory di esecuzione del malware%\killme.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova a scaricare dei file:

– La posizione è la seguente:
   • www.sou15.com/fowfly/**********
Viene salvato in locale sotto: %temporary internet files%\IeFavorites.txt

– La posizione è la seguente:
   • www.sou15.com/fowfly/**********
Viene salvato in locale sotto: %temporary internet files%\adset.txt

– La posizione è la seguente:
   • www.sou15.com/fowfly/**********
Viene salvato in locale sotto: %temporary internet files%\adlist.txt Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\Services.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • @=""
   • "W2KLpk"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014

 Backdoor Contatta il server:
Il seguente:
   • www.sou15.com/fowfly/**********

Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • Nome del computer
    • Stato corrente del malware

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Adriana Popa su giovedì 12 ottobre 2006
Descrizione aggiornata da Adriana Popa su giovedì 12 ottobre 2006

Indietro . . . .