Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Khanani.A
Scoperto:28/01/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:147.456 Byte
Somma di controllo MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Versione IVDF:7.00.02.61 - lunedì 28 gennaio 2008

 Generale Metodi di propagazione:
   • Unitdi rete mappata
   • Peer to Peer


Alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %unit disco%:\autoply.exe



Delle sezioni vengono aggiunte ai seguenti file.
– A: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Con i seguenti contenuti:
   • %codice che avvia malware%

– A: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Con i seguenti contenuti:
   • %codice che avvia malware%

– A: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Con i seguenti contenuti:
   • %codice che avvia malware%




Vengono creati i seguenti file:

File non maligni:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%unit disco%:\Autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Il file un task pianificato che esegue il malware in certe ore predefinite.
%WINDIR%\tasks\at2.job Il file un task pianificato che esegue il malware in certe ore predefinite.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • Hidden = %impostazioni definite dell'utente%
   • HideFileExt = %impostazioni definite dell'utente%
   • ShowSuperHidden = %impostazioni definite dell'utente%
   Nuovo valore:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • Nofolderoptions = 1

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   Se riuscito, i seguenti file vengono creati:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Questi file sono copie del malware stesso.



La directory condivisa potrebbe presentarsi come la seguente:


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.

Descrizione inserita da Andrei Gherman su lunedì 16 giugno 2008
Descrizione aggiornata da Andrei Gherman su lunedì 16 giugno 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.