Nume:TR/Renos.28160
Descoperit pe data de:18/01/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:28.160 Bytes
MD5:1ac77505fc560F58c1fb5f944a4c3336
Versiune VDF:6.37.00.171
Versiune IVDF:6.37.00.187 - giovedì 18 gennaio 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.gs
   •  F-Secure: not-virus:Hoax.Win32.Renos.gs
   •  Sophos: Troj/Spywad-AO
   •  Eset: Win32/Adware.SpySheriff


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal.exe

– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal.lic

– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: PHISH/FraudTool.SpySheriff.A.6


– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal0.sm

– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal1.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.127488


– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal1.sm

– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal2.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: PHISH/FraudTool.SpySheriff.A.5


– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\SpyMarshal3.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: PHISH/FraudTool.SpySheriff.A.7


– Adresa este urmatoarea:
   • http://www.SpyMarshal.com/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\Uninstall.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows update loader = %WINDIR%\xpupdate.exe
   • SpyMarshal = %PROGRAM FILES%\SpyMarshal\SpyMarshal.exe



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Noua valoare:
   • NoChangingWallpaper = dword:00000000
   • NoComponents = dword:00000000
   • NoAddingComponents = dword:00000000
   • NoDeletingComponents = dword:00000000
   • NoEditingComponents = dword:00000000
   • "NoHTMLWallPaper"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • NoActiveDesktop = dword:00000000
   • ClassicShell = dword:00000000
   • ForceActiveDesktopOn = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • Wallpaper = %WINDIR%\desktop.html

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Noua valoare:
   • WallpaperFileTime = %valori hex%
   • WallpaperLocalFileTime = %valori hex%
   • ComponentsPositioned = dword:00000002

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descrizione inserita da Andrei Gherman su martedì 20 marzo 2007
Descrizione aggiornata da Andrei Gherman su martedì 20 marzo 2007

Indietro . . . .