Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Scar.apqx
Scoperto:20/11/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:43.008 Byte
Somma di controllo MD5:5cdef39df4850fe9d241490fe4305df2
Versione IVDF:7.10.01.43 - venerdì 20 novembre 2009

 Generale Alias:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file maligni
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unit disco%\windows\ld15.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %TEMPDIR%\zpskon_1270677929.exe
   • %unit disco%\3.reg
   • %directory di esecuzione del malware%\df1a245s4_1592.exe
   • %directory di esecuzione del malware%\SelfDel.bat
   • %directory di esecuzione del malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %unit disco%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %unit disco%\1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



Vengono creati i seguenti file:

%unit disco%\3.reg Questo un file di testo non maligno con il seguente contenuto:
   •

%directory di esecuzione del malware%\df1a245s4_1592.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: BDS/Backdoor.Gen

%HOME%\Local Settings\Application Data\010112010146115119.xxe
%HOME%\Local Settings\Application Data\rdr_1270658517.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%unit disco%\windows\bill106.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%directory di esecuzione del malware%\SelfDel.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
%unit disco%\windows\bk23567.dat
%HOME%\Local Settings\Application Data\0101120101465198.xxe
%unit disco%\h.tmp
%WINDIR%\dxxdv34567.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.
%PROGRAM FILES%\webserver\webserver.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: BDS/Backdoor.Gen

%directory di esecuzione del malware%\sd.dat
%TEMPDIR%\captcha.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/ATRAPS.Gen

%unit disco%\1.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.



Prova a scaricare dei file:

Le posizioni sono le seguenti:
   • http://banmismokingban.com/**********/?action=&v=%numero%
   • http://uuviet.toila.net/**********/?action=&v=%numero%
   • http://prospect-m.ru/**********/?action=&v=%numero%
   • http://glyk.ch/**********/?action=&v=%numero%
   • http://sindhpk.com/**********/?action=&v=%numero%
   • http://www.smoketrend.de/**********/?action=&v=%numero%
   • http://rabadanmakeupartist.com/**********/?action=&v=%numero%
   • http://www.friesen-research.com/**********/?action=&v=%numero%
   • http://azfatso.org/**********/?action=&v=%numero%
   • http://lineaidea.it/**********/?action=&v=%numero%
   • http://mysex.co.il/**********/?action=&v=%numero%
   • http://daveshieldsmedia.com/**********/?action=&v=%numero%
   • http://kingdom-shakers.com/**********/?action=&v=%numero%
   • http://www.eurostandart.biz/**********/?action=&v=%numero%
   • http://drpaulaprice.com/**********/?action=&v=%numero%
   • http://eurorot.com/**********/?action=&v=%numero%
   • http://rowanhenderson.com/**********/?action=&v=%numero%
   • http://sigmai.co.il/**********/?action=&v=%numero%
   • http://anlaegkp.dk/**********/?action=&v=%numero%
   • http://inartdesigns.com/**********/?action=&v=%numero%
   • http://inartdesigns.com/**********/?action=&ff=%numero%&a=%numero%&v=%numero%&l=%numero%&c_fb=%numero%&c_ms=%numero%&c_hi=%numero%&c_tw=%numero%&c_be=%numero%&c_tg=%numero%&c_nl=%numero%&iedef=%numero%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%numero%&crc=%numero%
   • http://www.idif.it/**********/?action=&a=%numero%&v=%numero%&c_fb=%numero%&ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%numero%&crc=%numero%
   • http://amazingpets.org/**********/?action=&mode=&age=%numero%&a=%numero%&v=%numero%&c_fb=%numero%&ie=


La posizione la seguente:
   • http://insta-find.com/adm/**********


La posizione la seguente:
   • http://u07012010u.com/**********/?uptime=%numero%&v=%numero%&sub=%numero%&ping=%numero%&proxy=%numero%&hits=%numero%&noref=%numero%&port=%numero%




Prova ad eseguire i seguenti file:

Nome del file:
   • %WINDIR%\ld15.exe


Nome del file:
   • %TEMPDIR%\\zpskon_1270669724.exe


Nome del file:
   • cmd /c c:\1.bat


Nome del file:
   • zpskon_12706697


Nome del file:
   • %TEMPDIR%\\zpskon_1270677929.exe


Nome del file:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


Nome del file:
   • %TEMPDIR%\zpskon_1270677929.exe


Nome del file:
   • %TEMPDIR%\\zpskon_1270682172.exe


Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


Nome del file:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


Nome del file:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Nome del file:
   • cmd /c %WINDIR%\dxxdv34567.bat


Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


Nome del file:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


Nome del file:
   • rundll32 captcha,ServiceMain


Nome del file:
   • regedit /s c:\2.reg


Nome del file:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


Nome del file:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Nome del file:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


Nome del file:
   • sc start "webserver"


Nome del file:
   • df1a245s4_1592.exe


Nome del file:
   • cmd /c SelfDel.bat


Nome del file:
   • %directory di esecuzione del malware%\df1a245s4_1592.exe


Nome del file:
   • %WINDIR%\bill106.exe


Nome del file:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


Nome del file:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


Nome del file:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


Nome del file:
   • cmd /c "%temp%\captcha.bat"


Nome del file:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Nuovo valore:
   • "Port"=dword:0x000003ea

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuovo valore:
   • "captcha"="captcha"

 Host L'host del file viene modificato come spiegato:

L'accesso al seguente dominio reindirizzato ad un'altra destinazione:
   • 85.13.206.115 u07012010u.com


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 12 aprile 2010
Descrizione aggiornata da Petre Galan su lunedì 12 aprile 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.