Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:DR/Agent.24576.D
Scoperto:14/07/2009
Tipo:Dropper
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:160.768 Byte
Somma di controllo MD5:816852a7b5f831e6f2c517e4adab4c8b
Versione VDF:7.01.04.229

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.FraudPack.pnd
   •  Eset: Win32/Agent.PTU


Piattaforma / Sistema operativo:
   • Windows 2000
   • Windows XP

 File Viene creato il seguente file:

%WINDIR%\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job Il file è un task pianificato che esegue il malware in certe ore predefinite. Riconosciuto come: DR/Agent.24576.D

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cognac"="%executedir%\%filename%"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Cognac]
   • "s00000002"="xC7aKZ+O6wyPlq1krRM4sG7m2LFGsYtHjHOagBf10Uk/n4gL8s8xs9LeD5KQVh3/j+XFFlHTwF6UUl4+Okpef3si9NAD"
   • "s00000000"="tSLPLpWL7R22spR48AI743bz2Kge8sEVwV+urCGnghdg18Eo9NMs8sbCQvO2E1u+0quRUXD4ug6/bjAxfhYCb0UfzdlfROGiR3tfoylOcLHAH7yCiaBvnRZU43lFwg68rbA4VH7otTRUnUsktecNSQn93wDFIJBfAX62KOJrH23WF92s8q2F8M80+JJig46X"
   • "s00000001"="tSbFNJuL/h22spR48AI743bz2Kge8sEVwV+urCH4hQZ8wYY/9Mx6vsrfS7m2BQah1q7ZF2rk+EDaFAUifhYCbyBhsJUQGaLyTGBKui0aPLfAWqyJkrkwxVYJ925YxUWvsalrFSb3uGQ48Cdq7vYOGk77zgOQY8pPDX2obvttCiPXAcCt48LgvoQy5Y8qmoHZVCchY7PquLAM5rjqerKPIIOxpOYv0J3hxhQu1IIs1QfpR9uRcSSKnL0r1Tn+CHuGMGlMcnSb21WbJh41qJTeBa7Cg5sIbXgnyb1RJAxt+XV3hlpm5lLLv2UJvMh3yCDY4DF6+0AmNex2rlpZ7c0Fn3WM9K46VTgGGadaGh1hUMgr"
   • "d00000004"=dword:00015180
   • "d00000005"=dword:00000002
   • "d00000002"=dword:01ca048e
   • "d00000003"=dword:30c2cb60
   • "d00000006"=dword:00000001
   • "d00000000"=dword:01ca03c7
   • "d00000001"=dword:2053ab90

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://imagesrepository.com/**************
   • http://delphiner.com/***********

Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

Descrizione inserita da Mihai Dilimot su venerdì 17 luglio 2009
Descrizione aggiornata da Mihai Dilimot su venerdì 17 luglio 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.