Nome del virus:TR/FakeScanner.ziu
Scoperto:12/11/2008
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:899.024 Byte
Somma di controllo MD5:958feedf34cba174a85f4f58bb65955a
Versione VDF:7.01.00.70
Versione IVDF:7.01.00.77 - giovedì 13 novembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Eset: Win32/Genetik
   •  Bitdefender: Trojan.Generic.969530


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe



Crea la seguente directory:
   • %PROGRAM FILES%\PCPrivacyCleaner



Vengono creati i seguenti file:

%directory di esecuzione del malware%\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\Uninstall PCPrivacyCleaner.lnk
%home%\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyCleaner.lnk
%home%\Application Data\PCPrivacyCleaner\Logs\scns.txt



Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.instlog.pcprivacycleaner.com/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • PCPrivacyCleaner="%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\PCPrivacyCleaner]
   • "LicenseAccepted"=hex:01
   • "InstallDate"=%valori esadecimali%
   • "ActivationCode"=%valori esadecimali%
   • "Version"=%valori esadecimali%
   • "LastScanTime"=%valori esadecimali%
   • "TotalScanCount"=%valori esadecimali%

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   PCPrivacyCleaner]
   • DisplayName="PCPrivacyCleaner"
   • UninstallString=""%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe" -uninstall"
   • NoModify=dword:00000001

– [HKLM\Software\{65DE966D-11D1-4bb1-BF7E-B8A273514DAF}]
   • Version=hex:33,50,5f,55,50,43,50,43,53,45

 Varie Mutex:
Crea il seguente Mutex:
   • PCPrivacyCleaner%valori esadecimali%-%valori esadecimali%-%valori esadecimali%-%valori esadecimali%-%valori esadecimali%

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • AS Pack

Descrizione inserita da Monica Ghitun su martedì 16 dicembre 2008
Descrizione aggiornata da Monica Ghitun su martedì 16 dicembre 2008

Indietro . . . .