Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Scar.aywk
Scoperto:20/12/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:66.560 Byte
Somma di controllo MD5:13de040017144a6276172d08bfd1e7f4
Versione IVDF:7.10.02.23 - domenica 20 dicembre 2009

 Generale Metodo di propagazione:
    Autorun feature (it)


Alias:
   •  Mcafee: W32/Slenping
   •  Panda: W32/OscarBot.XY
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Worm.Pushbot.G


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %HOME%\Application Data\afd.exe
   • %unit disco%\Folder\SubFolder\file.exe



Vengono creati i seguenti file:

%unit disco%\Folder\SubFolder\Desktop.ini
%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   •

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"



Viene cambiata la seguente chiave di registro:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuovo valore:
   • "%file eseguiti%"="%file eseguiti%:*:Enabled:Cftmon32"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: one.af**********.com
Porta: 22
Canale: #!stdin
Nickname: [USA|00|P|%numero%]

 Backdoor Viene aperta la seguente porta:

freebieslounge.com sulla porta UDP 44500

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 16 marzo 2010
Descrizione aggiornata da Petre Galan su martedì 16 marzo 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.