Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.bgjc
Scoperto:03/05/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:118.784 Byte
Somma di controllo MD5:5507d7602b6afb61dbd8787e9a16e80c
Versione IVDF:7.10.07.21 - lunedì 3 maggio 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Sophos: Mal/VBInject-T
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8011


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\lssas.exe
   • %unità disco%\TRASH\DFG-2352-66235-2352322-634621321-6662355\365345.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\TRASH\DFG-2352-66235-2352322-634621321-6662355\Desktop.ini



Prova ad eseguire i seguenti file:

– Nome del file:
   • netsh firewall add allowedprogram %TEMPDIR%\lssas.exe WindowsSafety ENABLE


– Nome del file:
   • taskkill /IM winlog.exe


– Nome del file:
   • taskkill /IM svchost.exe


– Nome del file:
   • taskkill /IM csrss.exe


– Nome del file:
   • taskkill /IM lsass.exe


– Nome del file:
   • "%TEMPDIR%\lssas.exe"

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\lssas.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\lssas.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\lssas.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\lssas.exe"="%TEMPDIR%\lssas.exe:*:Enabled:Windows Defense"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: stores.del**********.net
Porta: 1234
Canale: #b#
Nickname: {NEW}[USA][XP-SP2]%numero%

Server: bb.ceg**********.org
Porta: 1234
Canale: #b#
Nickname: {NEW}[USA][XP-SP2]%numero%

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Petre Galan su giovedì 24 giugno 2010
Descrizione aggiornata da Petre Galan su giovedì 24 giugno 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.