Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Onlinegames.B
Scoperto:19/05/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~100.000 Byte
Versione IVDF:7.00.04.63 - martedì 20 maggio 2008

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Mcafee: PWS-LegMir.gen.k
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure: Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft: Worm/AutoRun.Y
   •  Eset: Win32/PSW.OnLineGames.NLI
   •  Bitdefender: Trojan.PWS.OnlineGames.WME

Individuazione simile:
   •  TR/Onlinegames.B.%numero%


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\amvo.exe



Fa una copia di se stesso utilizzando un nome file dalla lista:
– A: %unità disco%\ Utilizzando uno dei seguenti nomi:
   • %stringa di caratteri casuale%.exe
   • %stringa di caratteri casuale%.bat
   • %stringa di caratteri casuale%.cmd
   • %stringa di caratteri casuale%.com




Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\%stringa di caratteri casuale%.sys
   • %TEMPDIR%\%stringa di caratteri casuale%.dll

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%TEMPDIR%\%stringa di caratteri casuale%.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: RKIT/Vanti

%TEMPDIR%\%stringa di caratteri casuale%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.NSPM.Gen

%SYSDIR%\amvo0.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.NSPM.Gen

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • Hidden = %impostazioni definite dell'utente%
   • ShowSuperHidden = %impostazioni definite dell'utente%
   Nuovo valore:
   • Hidden = 2
   • ShowSuperHidden = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valore precedente:
   • CheckedValue = %impostazioni definite dell'utente%
   Nuovo valore:
   • CheckedValue = 0

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • Maple Story
   • Lineage

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\amvo0.dll

    Nome del processo:
   • explorer.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 13 giugno 2008
Descrizione aggiornata da Andrei Gherman su venerdì 13 giugno 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.