Nome del virus:TR/PSW.Magania.aul
Scoperto:06/02/2009
Tipo:Application (it)
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:106.952 Byte
Somma di controllo MD5:26ed45d881869e9543441442e001e3cb
Versione IVDF:7.01.01.239 - venerdì 6 febbraio 2009

 Generale Alias:
   •  Symantec: Infostealer.Gampass
   •  Mcafee: Generic PWS.ak trojan !!!
   •  Kaspersky: Trojan-Dropper.Win32.Agent.ahyp
   •  Sophos: Troj/Agent-JBE
   •  Panda: W32/Lineage.KYR
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.PWS.OnlineGames.KBPP


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %unità disco%\gxul.com
   • %SYSDIR%\uret463.exe



Sovrascrive un file.
%SYSDIR%\drivers\cdaudio.sys



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%SYSDIR%\lhgjyit0.dll (129536) Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Krap.399349




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://dsews.com/xjj/**********
Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://iytgfvcxs.com/xjj/**********

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Start"=dword:0x3
   • "Type"=dword:0x1
   • "ImagePath"="\??\%SYSDIR%\drivers\cdaudio.sys"
   • "DisplayName"="AVPsys"
   • "ErrorControl"=dword:0x1



Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dorfgwe"="%SYSDIR%\uret463.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="eftsdr.h"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:0x2
   • "ShowSuperHidden"=dword:0x0

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\lhgjyit0.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 19 ottobre 2009
Descrizione aggiornata da Petre Galan su lunedì 19 ottobre 2009

Indietro . . . .