Descrizione completa

Nome del virus:	ADSPY/Boran.I.17
Scoperto:	05/10/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	9.728 Byte
Somma di controllo MD5:	29987dbd0Ec36ff87cd572f0d75c2c5a
Versione VDF:	6.35.01.51 - venerdì 4 agosto 2006
Versione IVDF:	6.35.01.51 - venerdì 4 agosto 2006

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • TrendMicro: PAK_Generic.001
   • Eset: Win32/Adware.Boran

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Modifica del registro

File Crea la seguente directory:
• %directory di esecuzione del malware%\updmms

Vengono creati i seguenti file:

– %directory di esecuzione del malware%\updmms\mmsass.cab
– %directory di esecuzione del malware%\updmms\mmsstate.ini
– %directory di esecuzione del malware%\updmms\update.ini
– %directory di esecuzione del malware%\mms.ini

Registro Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6671A431-5C3D-463d-A7CF-5587F9B7E191}]
   • @="Vision"

Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}]
   • @="MMSAssist BHO"

– [HKCR\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32]
   • @="%directory di esecuzione del malware%\%file eseguiti%"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\ProgID]
   • @="MMSBho.MMSAssist.1"

– [HKCR\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\Programmable]
– [HKCR\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\TypeLib]
   • @="{077525AC-C681-4139-8C3E-B582BDD375C7}"

– [HKCR\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\
   VersionIndependentProgID]
   • @="MMSBho.MMSAssist"

– [HKCR\TypeLib\{077525AC-C681-4139-8C3E-B582BDD375C7}\1.0]
   • @="MMSBho 1.0 Type Library"

– [HKCR\TypeLib\{077525AC-C681-4139-8C3E-B582BDD375C7}\1.0\0\win32]
   • @="%directory di esecuzione del malware%\%file eseguiti%l"

– [HKCR\TypeLib\{077525AC-C681-4139-8C3E-B582BDD375C7}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{077525AC-C681-4139-8C3E-B582BDD375C7}\1.0\HELPDIR]
   • @="%directory di esecuzione del malware%"

– [HKCR\Interface\{74289A79-E652-4A57-A6B9-EE64AD532A8D}]
   • @="IMMSAssist"

– [HKCR\Interface\{74289A79-E652-4A57-A6B9-EE64AD532A8D}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{74289A79-E652-4A57-A6B9-EE64AD532A8D}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{74289A79-E652-4A57-A6B9-EE64AD532A8D}\TypeLib]
   • @="{077525AC-C681-4139-8C3E-B582BDD375C7}"
   • "Version"="1.0"

– [HKCR\MMSBho.MMSAssist]
   • @="MMSAssist BHO"

– [HKCR\MMSBho.MMSAssist\CLSID]
   • @="{6671A431-5C3D-463d-A7CF-5587F9B7E191}"

– [HKCR\MMSBho.MMSAssist\CurVer]
   • @="MMSBho.MMSAssist.1"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "Vision"="{6671A431-5C3D-463d-A7CF-5587F9B7E191}"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
   {6671A433-5C3D-463d-A7CF-5587F9B7E191}]
   • "CLSID"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"
   • "ClsidExtension"="{6671A432-5C3D-463d-A7CF-5587F9B7E191}"
   • "MenuText"="%stringa di caratteri casuale%"
   • "MenuStatusBar"="%stringa di caratteri casuale%"

– [HKCU\Software\Microsoft\Internet Explorer\MenuExt\
   >>%stringa di caratteri casuale%<<]
   • @="res://%directory di esecuzione del malware%\%file eseguiti%/mms.htm"

– [HKLM\SOFTWARE\mmsassist]
   • "mmsassist"="1.2.0.3"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   Vision Communicate]
   • "DisplayName"="Vision Communicate"
   • "UninstallString"="%SYSDIR%\rundll32.exe %directory di esecuzione del malware%\%file eseguiti%,Uninstall"

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Descrizione inserita da Monica Ghitun su giovedì 5 ottobre 2006
Descrizione aggiornata da Andrei Ivanes su giovedì 26 ottobre 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti