Nome del virus:TR/Hijack.Explor.687
Scoperto:03/11/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:115.712 Byte
Somma di controllo MD5:917bf66378af965035c5a17b098978a7
Versione VDF:6.36.00.146
Versione IVDF:6.36.00.163 - mercoledì 25 ottobre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Delf.tl
   •  Eset: Win32/PSW.Delf.NDL
   •  Bitdefender: Win32.ExplorerHijack


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • C:\gameload.dll
   • %WINDIR%\love.exe



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • C:\ali.html

%WINDIR%\winctrlc.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: 2686

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "startup"="%WINDIR%\love.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "dumbnod"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
   • "myloc"="startup"

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %WINDIR%\winctrlc.dll

    Nome del processo:
   • iexplore.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Monica Ghitun su venerdì 3 novembre 2006
Descrizione aggiornata da Monica Ghitun su lunedì 20 novembre 2006

Indietro . . . .