Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/PSW.Magania.avwf
Scoperto:04/03/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:108.412 Byte
Somma di controllo MD5:518db8564203cc90b7a461d71c42dd09
Versione IVDF:7.01.02.119 - mercoledì 4 marzo 2009

 Generale Metodi di propagazione:
   • Unitdi rete mappata
    Messenger


Alias:
   •  Symantec: Trojan.Dropper
   •  Sophos: W32/AutoRun-AAT
   •  Panda: W32/Lineage.KPH
   •  Grisoft: PSW.OnlineGames.2.S
   •  Eset: Win32/PSW.OnLineGames.NMY


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\ierdfgh.exe
   • %unit disco%\9.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys



Pu corrompere il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys



Vengono creati i seguenti file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   •

%SYSDIR%\pytdfse%numero%.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Autorun.845034

%SYSDIR%\drivers\klif.sys Riconosciuto come: TR/Klif.3520

%unit disco%\6fq.com
%TEMPDIR%\4tddfwq0.dll
%TEMPDIR%\xvassdf.exe



Prova a scaricare un file:

La posizione la seguente:
   • http://vfbgt.com/xrbv/**********


La posizione la seguente:
   • http://sfdght.com/xrbv/**********
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kxswsoft"="%SYSDIR%\ierdfgh.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
     "DisplayName"="AVPsys"



I valori della seguente chiave di registro vengono rimossi:



La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Enum]
   • "Count"=dword:00000000
   • "NextInstance"=dword:00000000
   • "INITSTARTFAILED"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
   • 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
   • 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
   • 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
   • 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]
   Nuovo valore:
   • "enabled"=dword:00000000

Varie opzioni di Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • "NoDriveTypeAutoRun"=dword:00000091

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 Yahoo Messenger


Propagazione via file
Invia un file con uno dei seguenti nomi:
   • YahooWidgetEngine.exe
   • YPagerj.exe

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\pytdfse%numero%.dll


 Inserisce una procedura di process watching in un processo.

    Nome del processo:
   • explorer.exe

   Se il malware fallisce prosegue la sua esecuzione come processo.

 Tecnologia Rootkit  una tecnologia specifica del malware. Il malware si nasconde dalle utilit di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Metodo utilizzato:
     Nascosto dalle Windows API
     Nascosto dalla Interrupt Descriptor Table (IDT)

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 6 luglio 2009
Descrizione aggiornata da Petre Galan su mercoledì 19 agosto 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.