Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Inject.81409.BI
Scoperto:22/04/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:81.409 Byte
Somma di controllo MD5:b2dfa22025a1043e3a12837222f6753f
Versione IVDF:7.10.06.171 - giovedì 22 aprile 2010

 Generale Alias:
   •  Sophos: Troj/Delf-FEP
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8165


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %TEMPDIR%\nvdis.exe



Viene creato il seguente file:

%TEMPDIR%\google_cache112.tmp



Prova ad eseguire i seguenti file:

Nome del file:
   • netsh firewall add allowedprogram %TEMPDIR%\nvdis.exe WindowsSafety ENABLE


Nome del file:
   • taskkill /IM winlog.exe


Nome del file:
   • taskkill /IM svchost.exe


Nome del file:
   • taskkill /IM csrss.exe


Nome del file:
   • taskkill /IM lsass.exe


Nome del file:
   • "%TEMPDIR%\nvdis.exe"

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\nvdis.exe"

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %TEMPDIR%\nvdis.exe

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: rix.mes**********.su
Porta: 1234
Canale: #l#
Nickname: {NEW}[USA][XP-%versione di Windows%]%numero%

 Processi terminati Lista dei processi che vengono terminati:
   • winlog.exe
   • svchost.exe
   • csrss.exe
   • lsass.exe


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Delphi.

Descrizione inserita da Petre Galan su martedì 6 luglio 2010
Descrizione aggiornata da Petre Galan su martedì 6 luglio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.