Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/P2P.Agent.N
Scoperto:19/02/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:1.470.464 Byte
Somma di controllo MD5:b1a0bd24b09ccb213a4d961f53ff9d0F
Versione VDF:7.00.02.153
Versione IVDF:7.00.02.156 - martedì 19 febbraio 2008

 Generale Metodo di propagazione:
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.Archivarius.a
   •  F-Secure: P2P-Worm.Win32.Archivarius.a
   •  Sophos: Troj/Agent-GPY
   •  Panda: W32/Archivarius.A.worm
   •  Grisoft: Worm/Delf.HEE
   •  Eset: Win32/Archivarius.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Clona un file maligno
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %SYSDIR%\WinSecure.exe
   • %TEMPDIR%\Installer-Crack-Keygen.exe



Copia se stesso dentro archivi nelle seguenti posizioni:
   • %TEMPDIR%\xx%numero%
   • %TEMPDIR%\TEMP1.zip



Vengono creati i seguenti file:

File non maligno:
   • %SYSDIR%\rar.exe

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\xx%numero%
   • %TEMPDIR%\TEMP1.zip

%TEMPDIR%\temp_01.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Delf.own

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • Windows Security Tool="WinSecure.exe"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   Nuovo valore:
   • TrapPollTimeMilliSecs = 00003a98

[HKLM\SOFTWARE\Licenses]
   Nuovo valore:
   • {K7C0DB872A3F777C0} = %valori esadecimali%
   • {I29A5EA887C231048} = %valori esadecimali%

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:   Recupera le cartelle condivise interrogando le seguenti chiavi di registro:
   • [SOFTWARE\Kazaa\LocalContent\DownloadDir]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop\LimeWire Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\LimeWire\Shared]
   • [Software\Shareaza\Shareaza\Downloads\CompletePath]
   • [Software\Shareaza\Shareaza\Downloads\CollectionPath]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData\Ares\My Shared Folder]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\Warez]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\My Downloads]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\eDonkey2000 Downloads]

   Se riuscito, i seguenti file vengono creati:
   • Nero 8 Ultra Edition 8.2.1.5 Keygen.rar; Adobe Photoshop CS3
      Keygenerator.rar; Windows XP Home-Professional Genuine Crack.rar;
      Microsoft Office 2008 Crack.rar; FlashGet Ver 1.9.6.1073.rar; Serif
      WebPlus v10.1.1.rar; NetLimiter 2 Pro v2.0.10.1.rar; ZoomPlayer WMV
      Professional v5.01.rar; Video Snapshots Genius v2.1.rar; Just Audio
      Management v3.0.38.rar; Image Cut v1.5.rar; ZeallSoft Music DVD Maker
      v2.2.rar; Winamp Pro v5.52.rar; TextAloud v2.268.rar; Panda Antivirus
      2008 + patcheado actualizado 02-08.rar; Caribbean Hideaway v1.0.rar;
      MasterCAM X2 v.11 SP1.rar; Digital Tutors Introduction To Photoshop
      CS3 2CD ISO.rar; PTC Pro Engineer Wildfire v.4 Graphics Library.rar;
      DiskWarrior v.4.1 rev42 Bootable CD Retail MAC.rar; RoketBox Disk1
      DVD.rar; WireShark University Training Course Bootcamp 02 TCP-IP.rar;
      The Print Shop Pro Publisher 22 Deluxe DVD.rar; Super DVD Creator
      9.rar; VirtualDJ 5.0.rar; X-NetStat Professional 5.5.rar; Boilsoft
      Video Splitter 5.01.rar; Roxio Easy Media Creator Suite 10.rar; Radmin
      Remote Administrator 3.0.rar; LimeWire Pro 4.17.0.rar; Network Magic
      Pro 4.2.7234.0.rar; Acronis Disk Director Suite 10.0.2160.rar; Super
      Internet TV Satellite 7.1.1.rar; Print Folder Pro 3.3.rar; Active
      Webcam 10.1.rar; WinAVI Video Converter 9.rar; Eset NOD32 Complete
      Software Collection 2008.rar; Folder Guard Pro 7.92.rar; Kaspersky
      Internet Security Anti-Virus 7.0.1.321 working KEY (02-08).rar; Winamp
      5.5.2 (funciona con el keygenerador de serial).rar; Movie Label 2008
      3.0.rar; Microsoft Exchange Server 2007.rar; ImTOO 3GP Video Converter
      3.1.23.rar; TuneUp Utilities 2008.rar; Vista Manager 1.4.rar; Sony
      Vegas Pro Studio 8 20071.rar; How to Cheat In Photoshop CS3
      Content.rar; NodLogin 8.0.rar; Smart Wedding 4.0.rar; FrostWire
      4.13.4, Like Limewire But Better.rar; Windows XP 2.0.rar; McAfee Total
      Protection Retail 2008 (con el serial funcionante).rar; BitDefender
      Internet Security (2008).rar; Alive YouTube Video Converter
      1.2.8.8.rar; Fraps Registered 2.9.2.rar; YouTube Get 4.2 (descarga
      videos da youtube ... mui bueno).rar; Microsoft Office Professional
      2007 (con el keygenerador que funciona).rar; UnHackMe 4.9.rar;
      Seepassword 2.055.rar; CloneDVD Mobile 1.1.6.15.rar; AnyDVD HD 6.3.1.5
      (graba dvd funcionante).rar; DVDFab Platinum 4.0.5.55.rar; 8 Start
      Launcher.rar; Windows Media Player 11 con patcheada actualizada
      2008.rar

   L'archivio contiene al suo interno una copia del malware.



La directory condivisa potrebbe presentarsi come la seguente:


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ana Maria Niculescu su venerdì 11 aprile 2008
Descrizione aggiornata da Andrei Gherman su venerdì 18 aprile 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.