Nome del virus:TR/Rincux.AW
Scoperto:18/02/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:135.168 Byte
Somma di controllo MD5:5dcfaaef2dedd8280a9d5dbe7b888a2b
Versione IVDF:7.01.02.40 - mercoledì 18 febbraio 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.adxk
   •  Grisoft: Agent.AZKT
   •  Eset: Win32/Agent.NVO
   •  Bitdefender: Trojan.Rincux.AW


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\winnet.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Agent.adxk

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   System]
   • DllName="%SYSDIR%\winnet.dll"
   • Startup="LFStartup"
   • Shutdown="LFShutdown"
   • Asynchronous=dword:00000001
   • Impersonate=dword:00000000

 Backdoor Contatta il server:
Il seguente:
   • jiaozhu**********.9966.org:443

Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • Nome del computer
    • Tipo di CPU
    • Hardware
    • Nome Utente
    • Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • iexplore.exe


Descrizione inserita da Andreas Feuerstein su mercoledì 18 febbraio 2009
Descrizione aggiornata da Robert Harja Iliescu su venerdì 27 febbraio 2009

Indietro . . . .