Nome del virus:TR/WSearch.503808
Scoperto:18/05/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:503.808 Byte
Somma di controllo MD5:26983eec770d46b7f7974ca00e6dff15
Versione IVDF:7.10.08.186 - venerdì 25 giugno 2010

 Generale Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Adload.skw
   •  VirusBuster: Adware.Rugo.RD
   •  Eset: Win32/Adware.WSearch.AD


Piattaforma / Sistema operativo:
   • Windows XP


Effetti secondari:
   • Duplica un file
   • Duplica file “maligni”

 File Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\Tasks\ms.job

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\h8nil4o8\2.dll
   • %TEMPDIR%\h8nil4o8\3.dll
   • %TEMPDIR%\h8nil4o8\b.dll
   • %TEMPDIR%\h8nil4o8\4.dll

%SYSDIR%\799d.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\9bee.dll
%SYSDIR%\977o.dll

 Registro Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\D408BD6C-6563-4ea7-8656-9D55DD65A1AC]
   • @="Microsoft User"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\BHO.FunPlayer.1]
   • @="CFunPlayer Object"

– [HKCR\BHO.FunPlayer.1\CLSID]
   • @="{D408BD6C-6563-4ea7-8656-9D55DD65A1AC}"

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Florian Burlefinger su venerdì 25 giugno 2010
Descrizione aggiornata da Florian Burlefinger su martedì 29 giugno 2010

Indietro . . . .