Nome del virus:TR/Fakealert.QE
Scoperto:16/10/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:No
Versione IVDF:7.00.07.46 - giovedì 16 ottobre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: AntiVirus2009
   •  Kaspersky: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   •  F-Secure: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Small.ELY


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Scarica file “maligni”


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Vengono creati i seguenti file:

– File “non maligni”:
   • %PROGRAM FILES%\XP_AntiSpyware\Uninstall.exe; %PROGRAM
      FILES%\XP_AntiSpyware\htmlayout.dll; %PROGRAM
      FILES%\XP_AntiSpyware\pthreadVC2.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\data\daily.cvd; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk;
      %HOME%\Desktop\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\Uninstall.lnk

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\prm2
   • %TEMPDIR%\prm3

%PROGRAM FILES%\XP_AntiSpyware\AVEngn.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Fakealert.QF

%TEMPDIR%\Binaries1.cab2
%TEMPDIR%\Binaries2.cab3
%TEMPDIR%\Binaries3.cab4



Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.xpas2009.com/**********/Binaries1.cab
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%stringa casuale di otto caratteri%\Binaries1[1].cab

– La posizione è la seguente:
   • http://www.xpas2009.com/**********/Binaries2.cab
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%stringa casuale di otto caratteri%\Binaries2[1].cab

– La posizione è la seguente:
   • http://www.xpas2009.com/**********/Binaries3.cab
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%stringa casuale di otto caratteri%\Binaries3[1].cab



Prova ad eseguire i seguenti file:

– Nome del file:
   • %PROGRAM FILES%\XP_AntiSpyware\XP_AntiSpyware.exe
In più contiene codice "maligno". Riconosciuto come: TR/Drop.Delf.Crypt.G.24


– Nome del file:
   • %PROGRAM FILES%\XP_AntiSpyware\wscui.cpl
In più contiene codice "maligno". Riconosciuto come: TR/Fakealert.QE

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andreas Feuerstein su martedì 21 ottobre 2008
Descrizione aggiornata da Andreas Feuerstein su martedì 21 ottobre 2008

Indietro . . . .