Nome del virus:TR/Spy.Vundo.AF
Scoperto:23/03/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:281.652 Byte
Versione VDF:6.37.01.147
Versione IVDF:6.37.01.154 - venerdì 23 febbraio 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Grisoft: Downloader.Zlob.FC


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %directory di esecuzione del malware%\%stringa di caratteri casuale%.tmp
   • %directory di esecuzione del malware%\%stringa di caratteri casuale%.ini

 Registro Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID generato%}]


Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %dll del malware%]
   • Asynchronous = dword:00000001
   • DllName = %directory di esecuzione del malware%\%dll del malware%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%CLSID generato%}]

– [HKCR\CLSID\{%CLSID generato%}\InprocServer32]
   • @ = %directory di esecuzione del malware%\%dll del malware%
   • ThreadingModel = Both

 Backdoor Contatta il server:
Il seguente:
   • http://white**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su martedì 13 marzo 2007
Descrizione aggiornata da Andrei Gherman su martedì 13 marzo 2007

Indietro . . . .