Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Agent.161824
Scoperto:09/01/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:161.840 Byte
Somma di controllo MD5:e1e01f442eb5be19f7bc10ff0b03954f
Versione IVDF:7.01.01.92 - venerdì 9 gennaio 2009

 Generale Alias:
   •  Sophos: W32/AutoAEU-Gen
   •  Panda: Trj/Qhost.KE
   •  Eset: Win32/AutoRun.Agent.GI
   •  Bitdefender: Trojan.Generic.1323408


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Duplica file maligni
   • Modifica del registro

 File Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %TEMPDIR%\94e35516f74aa47b05add02c6e0de7b8.bat



Vengono creati i seguenti file:

%TEMPDIR%\94e35516f74aa47b05add02c6e0de7b8.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.
%SYSDIR%\abfdcfedc.dll



Prova a scaricare un file:

La posizione la seguente:
   • http://wl.dwen24.com/v306/**********
Al momento dell'analisi questo file non era pi disponibile.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lck"
   • "Logoff"="lf"
   • "Logon"="l"
   • "Shutdown"="sd"
   • "StartScreenSaver"="sss"
   • "StartShell"="ss"
   • "Startup"="sup"
   • "StopScreenSaver"="stsss"
   • "Unlock"="u"



Viene cambiata la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Blud"="%character string%"

 Come il virus si inserisce nei processi – Si inserisce come thread in un processo.

    Nome del processo:
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 26 febbraio 2010
Descrizione aggiornata da Andrei Ivanes su martedì 2 marzo 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.