Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Scar.apqx
Scoperto:20/11/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:43.008 Byte
Somma di controllo MD5:5cdef39df4850fe9d241490fe4305df2
Versione IVDF:7.10.01.43 - venerdì 20 novembre 2009

 Generale Alias:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unità disco%\windows\ld15.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %TEMPDIR%\zpskon_1270677929.exe
   • %unità disco%\3.reg
   • %directory di esecuzione del malware%\df1a245s4_1592.exe
   • %directory di esecuzione del malware%\SelfDel.bat
   • %directory di esecuzione del malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %unità disco%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %unità disco%\1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



Vengono creati i seguenti file:

%unità disco%\3.reg Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%directory di esecuzione del malware%\df1a245s4_1592.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\010112010146115119.xxe
– %HOME%\Local Settings\Application Data\rdr_1270658517.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%unità disco%\windows\bill106.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%directory di esecuzione del malware%\SelfDel.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
%unità disco%\windows\bk23567.dat
– %HOME%\Local Settings\Application Data\0101120101465198.xxe
%unità disco%\h.tmp
%WINDIR%\dxxdv34567.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%PROGRAM FILES%\webserver\webserver.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Backdoor.Gen

%directory di esecuzione del malware%\sd.dat
%TEMPDIR%\captcha.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/ATRAPS.Gen

%unità disco%\1.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • http://banmismokingban.com/**********/?action=&v=%numero%
   • http://uuviet.toila.net/**********/?action=&v=%numero%
   • http://prospect-m.ru/**********/?action=&v=%numero%
   • http://glyk.ch/**********/?action=&v=%numero%
   • http://sindhpk.com/**********/?action=&v=%numero%
   • http://www.smoketrend.de/**********/?action=&v=%numero%
   • http://rabadanmakeupartist.com/**********/?action=&v=%numero%
   • http://www.friesen-research.com/**********/?action=&v=%numero%
   • http://azfatso.org/**********/?action=&v=%numero%
   • http://lineaidea.it/**********/?action=&v=%numero%
   • http://mysex.co.il/**********/?action=&v=%numero%
   • http://daveshieldsmedia.com/**********/?action=&v=%numero%
   • http://kingdom-shakers.com/**********/?action=&v=%numero%
   • http://www.eurostandart.biz/**********/?action=&v=%numero%
   • http://drpaulaprice.com/**********/?action=&v=%numero%
   • http://eurorot.com/**********/?action=&v=%numero%
   • http://rowanhenderson.com/**********/?action=&v=%numero%
   • http://sigmai.co.il/**********/?action=&v=%numero%
   • http://anlaegkp.dk/**********/?action=&v=%numero%
   • http://inartdesigns.com/**********/?action=&v=%numero%
   • http://inartdesigns.com/**********/?action=&ff=%numero%&a=%numero%&v=%numero%&l=%numero%&c_fb=%numero%&c_ms=%numero%&c_hi=%numero%&c_tw=%numero%&c_be=%numero%&c_tg=%numero%&c_nl=%numero%&iedef=%numero%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%numero%&crc=%numero%
   • http://www.idif.it/**********/?action=&a=%numero%&v=%numero%&c_fb=%numero%&ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%numero%&crc=%numero%
   • http://amazingpets.org/**********/?action=&mode=&age=%numero%&a=%numero%&v=%numero%&c_fb=%numero%&ie=


– La posizione è la seguente:
   • http://insta-find.com/adm/**********


– La posizione è la seguente:
   • http://u07012010u.com/**********/?uptime=%numero%&v=%numero%&sub=%numero%&ping=%numero%&proxy=%numero%&hits=%numero%&noref=%numero%&port=%numero%




Prova ad eseguire i seguenti file:

– Nome del file:
   • %WINDIR%\ld15.exe


– Nome del file:
   • %TEMPDIR%\\zpskon_1270669724.exe


– Nome del file:
   • cmd /c c:\1.bat


– Nome del file:
   • zpskon_12706697


– Nome del file:
   • %TEMPDIR%\\zpskon_1270677929.exe


– Nome del file:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


– Nome del file:
   • %TEMPDIR%\zpskon_1270677929.exe


– Nome del file:
   • %TEMPDIR%\\zpskon_1270682172.exe


– Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


– Nome del file:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


– Nome del file:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Nome del file:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


– Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


– Nome del file:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


– Nome del file:
   • rundll32 captcha,ServiceMain


– Nome del file:
   • regedit /s c:\2.reg


– Nome del file:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


– Nome del file:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Nome del file:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Nome del file:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


– Nome del file:
   • sc start "webserver"


– Nome del file:
   • df1a245s4_1592.exe


– Nome del file:
   • cmd /c SelfDel.bat


– Nome del file:
   • %directory di esecuzione del malware%\df1a245s4_1592.exe


– Nome del file:
   • %WINDIR%\bill106.exe


– Nome del file:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


– Nome del file:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


– Nome del file:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


– Nome del file:
   • cmd /c "%temp%\captcha.bat"


– Nome del file:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Nuovo valore:
   • "Port"=dword:0x000003ea

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuovo valore:
   • "captcha"="captcha"

 Host L'host del file viene modificato come spiegato:

– L'accesso al seguente dominio è reindirizzato ad un'altra destinazione:
   • 85.13.206.115 u07012010u.com


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 12 aprile 2010
Descrizione aggiornata da Petre Galan su lunedì 12 aprile 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.