Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Drop.Xorer.C
Scoperto:26/02/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~90.000 Byte
Versione IVDF:7.00.02.190 - martedì 26 febbraio 2008

 Generale Metodo di propagazione:
   • Unitdi rete mappata


Alias:
   •  Mcafee: W32/Xorer.c
   •  Kaspersky: Virus.Win32.Xorer.dr
   •  F-Secure: Virus.Win32.Xorer.dr
   •  Sophos: W32/Xorer-B
   •  Grisoft: Worm/AutoRun.AR
   •  Eset: Win32/Xorer.NAE
   •  Bitdefender: Win32.Xorer.DW


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%molte cifre casuali%.log
   • %SYSDIR%\com\lsass.exe
   • %unit disco%\pagefile.pif



Vengono creati i seguenti file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%SYSDIR%\com\smss.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: W32/Xorer.DU

%SYSDIR%\com\netcfg.000 Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Xorer.A.1

%SYSDIR%\com\netcfg.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Xorer.A.1

%SYSDIR%\dnsq.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Agent.32256.E.2

%unit disco%\NetApi000.sys Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: RKIT/Xorer.A.2




Prova a scaricare un file:

La posizione la seguente:
   • http://w.c0mo.com/**********
Questo file pu contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro  Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • ShowSuperHidden = dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuovo valore:
   • Type = radio

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\dnsq.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.baidu.com


Mutex:
Crea il seguente Mutex:
   • clsassexe

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su lunedì 16 giugno 2008
Descrizione aggiornata da Andrei Gherman su giovedì 19 giugno 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.