Nome del virus:Worm/Slenping.67072B
Scoperto:15/01/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:67.072 Byte
Somma di controllo MD5:d934401109b272b918209d74017b3ace
Versione IVDF:7.10.02.197 - venerdì 15 gennaio 2010

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/Slenping
   •  Panda: W32/OscarBot.XY
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Trojan.Generic.2786616


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %unità disco%\Folder\SubFolder\file.exe
   • %HOME%\Application Data\afd.exe



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%"="%file eseguiti%:*:Enabled:Cftmon32"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: one.af**********.com
Porta: 22
Password del server: shakawkaw
Canale: #!stdin
Nickname: [USA|00|P|%numero%]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 17 marzo 2010
Descrizione aggiornata da Petre Galan su mercoledì 17 marzo 2010

Indietro . . . .