Nome del virus:TR/PSW.Magania.auv
Scoperto:17/02/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:111.242 Byte
Somma di controllo MD5:223156e1cd31b4a77a6dac8c43cc5fae
Versione IVDF:7.01.02.34 - martedì 17 febbraio 2009

 Generale Metodo di propagazione:
• Autorun feature (it)


Alias:
   •  Mcafee: Generic PWS.ak trojan
   •  Sophos: Mal/UnkPack-Fam
   •  Panda: W32/Lineage.KMF.worm
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.PWS.OnlineGames.KBUN


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unità disco%\gyn.cmd



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys



Vengono creati i seguenti file:

%SYSDIR%\olhrwef.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Magania.carh.1

%SYSDIR%\nmdfgds1.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.ZPACK.Gen

%unità disco%\yudald.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Magania.carh.1

%SYSDIR%\nmdfgds0.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Magania.auw




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://ghterwa.com/xmfx/**********
Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://qwdghu.com/xmfx/**********
Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "DisplayName"="AVPsys"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\cdaudio.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cdoosoft"="%SYSDIR%\olhrwef.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="mcjhjk.v"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x00000000

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 28 ottobre 2009
Descrizione aggiornata da Petre Galan su venerdì 13 novembre 2009

Indietro . . . .