Nome del virus:TR/Fakealert.HC
Scoperto:16/10/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:44.032 Byte
Somma di controllo MD5:9d40e58d4b91df1fdf7afd3b05dba6d6
Versione IVDF:7.00.07.47 - giovedì 16 ottobre 2008

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

 File Vengono creati i seguenti file:

%SYSDIR%\brastk.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.FraudLo.bai

%SYSDIR%\dllcache\figaro.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

%WINDIR%\delself.bat Questo file automatico è utilizzato per cancellare un file.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%valori esadecimali%

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • New anjelina jolie sex scandal



Corpo dell'email:
Il corpo dell’email è come il seguente:
   • anjelina jolie porn video, file attached, watch it


File allegato:
Il nome del file allegato è:
   • angelina_video.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su mercoledì 22 ottobre 2008
Descrizione aggiornata da Thomas Wegele su mercoledì 22 ottobre 2008

Indietro . . . .