Descrizione completa

Nume:	TR/Fakealert.C.17
Descoperit pe data de:	15/10/2009
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	171.024 Bytes
MD5:	d6084176f7ef6ff28c544e7a9f8adb94
Versiune IVDF:	7.01.06.114 - giovedì 15 ottobre 2009

General Alias:
   • Mcafee: W32/Autorun.worm
   • Panda: W32/Autorun.JPK
   • Eset: Win32/AutoRun.Agent.TK
   • Bitdefender: Worm.Generic.95428

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

Fisiere Sterge copia initiala a virusului.

Sterge urmatorul fisier:
• %SYSDIR%\RCX3.tmp

Sunt create fisierele:

– %SYSDIR%\abfdcfedc.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Agent.wif.9

– %TEMPDIR%\3fafa40407f9b420eaff07c821171795.exe

Incearca sa descarce un fisier:

– Adresa este urmatoarea:
• http://wl.ddkrss.com/v308/**********?msg=Z6LsdX5H8Xy4qJ4RzAWD1XKcLXF5KD1TcGyz%2BNYlo5rl4JI8qF41GsB84SqyUSOukXM87NAFGaZXa#EAC%2BcYT01HmEUrNgHLK9qx9n5r7HxGnGYDS2pzvMb9p3cv47eX
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="%character string%"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lk"
   • "Logoff"="lk"
   • "Logon"="lk"
   • "Shutdown"="lk"
   • "StartScreenSaver"="lk"
   • "StartShell"="g"
   • "Startup"="lk"
   • "StopScreenSaver"="lk"
   • "Unlock"="lk"

Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

Numele procesului:
• winlogon.exe

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Petre Galan su venerdì 5 marzo 2010
Descrizione aggiornata da Petre Galan su venerdì 5 marzo 2010

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti