Nome del virus:TR/Vundo.HY
Scoperto:13/06/2008
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:321.536 Byte
Somma di controllo MD5:985c2011d7971e33d9ace5892a51f28b
Versione IVDF:7.00.04.187 - venerdì 13 giugno 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Sophos: Troj/FakeAle-CB
   •  Eset: a variant of Win32/Adware.Virtumonde application


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file
   • Modifica del registro

 File Vengono creati i seguenti file:

– File “non maligni”:
   • C:\%directory di esecuzione del malware%\rt.ini
   • C:\%directory di esecuzione del malware%\rt.ini2




Prova a scaricare un file:

– La posizione è la seguente:
   • http://62.4.83.203/antispy/**********
Viene salvato in locale sotto: %TEMPDIR%\%stringa casuale di otto caratteri%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Monder.XO

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCR\CLSID\{2C72B974-315C-439C-B13E-FB0E062D6B1C}\InprocServer32]
   • @="%directory di esecuzione del malware%\%dll del malware%"
   • "ThreadingModel"="Both"



Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\
   • {2C72B974-315C-439C-B13E-FB0E062D6B1C}]

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Thomas Wegele su giovedì 19 giugno 2008
Descrizione aggiornata da Thomas Wegele su giovedì 19 giugno 2008

Indietro . . . .