Nome del virus:TR/Dldr.FraudLo.sxm
Scoperto:13/07/2009
Tipo:Security Privacy Risk
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:No
Versione VDF:7.01.04.223

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
   •  F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
   •  Eset: Win32/Kryptik.AAL


Piattaforma / Sistema operativo:
   • Windows XP


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro


Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:




 File Si copia alla seguente posizione:
   • %program files%\HomeAntivirus2010\Uninstall.exe



Vengono creati i seguenti file:

– File “non maligni”:
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
   • %program files%\HomeAntivirus2010\data\daily.cvd
   • %program files%\HomeAntivirus2010\pthreadVC2.dll
   • %program files%\HomeAntivirus2010\htmlayout.dll
   • %directory scelta casualmente%\%parole casuali%

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %tempdir%\prm%numero%
   • %tempdir%\wr%numero%
   • %tempdir%\clamav-%32 random hexa numbers%\daily.db
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
   • %tempdir%\clamav-%32 random hexa numbers%\daily.fp
   • %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.info

– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Riconosciuto come: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\AVEngn.dll Riconosciuto come: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\wscui.cpl Riconosciuto come: TR/Dldr.FraudLo.sxm

– %systemdir%\_scui.cpl Riconosciuto come: TR/Dldr.FraudLo.sxm




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Viene salvato in locale sotto: %temporary internet files%

– La posizione è la seguente:
   • http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Viene salvato in locale sotto: %temporary internet files%

– La posizione è la seguente:
   • http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Viene salvato in locale sotto: %temporary internet files%

– La posizione è la seguente:
   • http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Viene salvato in locale sotto: %temporary internet files%

– La posizione è la seguente:
   • http://user:************@bugermanosatora.com/files/BinariesSC.cab
Viene salvato in locale sotto: %temporary internet files%

– La posizione è la seguente:
   • http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Viene salvato in locale sotto: %temporary internet files%

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Home Antivirus 2010"="\"%PROGRAM FILES%\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Control Panel\don't load]
   • "scui.cpl"="No"
   • "wscui.cpl"="No"

– [HKLM\SOFTWARE\HomeAntivirus2010]
   • "info"="%data corrente%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   HomeAntivirus2010]
   • "DisplayName"="Home Antivirus 2010"
   • "UninstallString"="%PROGRAM FILES%\HomeAntivirus2010\Uninstall.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "FirewallDisableNotify"=dword:00000000
   Nuovo valore:
   • "FirewallDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "UpdatesDisableNotify"=dword:00000000
   Nuovo valore:
   • "UpdatesDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "AntiVirusDisableNotify"=dword:00000000
   Nuovo valore:
   • "AntiVirusDisableNotify"=dword:00000001

Descrizione inserita da Mihai Dilimot su lunedì 10 agosto 2009
Descrizione aggiornata da Mihai Dilimot su martedì 11 agosto 2009

Indietro . . . .