Nome del virus:TR/FraudPack.azgx
Scoperto:11/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Alto
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:293.632 Byte
Somma di controllo MD5:22238109881991c13518bf79d3f0bf71
Versione IVDF:7.10.09.57 - domenica 11 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: SpywareGuard2008
   •  Mcafee: FakeAlert-SpyPro.gen.p
   •  Kaspersky: Trojan.Win32.FraudPack.azgx
   •  TrendMicro: TROJ_FAKEAV.SMES
   •  F-Secure: Trojan.Generic.KD.19444
   •  Sophos: Mal/FakeAV-DO
   •  Bitdefender: Trojan.Generic.KD.19444
   •  Panda: Trj/CI.A


Piattaforme / Sistemi operativi:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Falsley segnala infezioni malware o problemi del sistema e offre all'utente le soluzioni, purché acquisti l'applicazione.
   • Modifica del registro
   • Redirects to an infected website (it)


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %HOME%\Local Settings\Application Data\%directory scelta casualmente%
   • \%stringa di caratteri casuale%.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%HOME%\Local Settings\Application Data\%directory scelta casualmente%\%stringa di caratteri casuale%.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%HOME%\Local Settings\Application Data\%directory scelta casualmente%\%stringa di caratteri casuale%.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\AVSS]
   • "knkd"=dword:00000001
   • "aazalirt"=dword:00000001
   • "skaaanret"=dword:00000001
   • "jungertab"=dword:00000001
   • "zibaglertz"=dword:00000001
   • "iddqdops"=dword:00000001
   • "ronitfst"=dword:00000001
   • "tobmygers"=dword:00000001
   • "jikglond"=dword:00000001
   • "tobykke"=dword:00000001
   • "klopnidret"=dword:00000001
   • "jiklagka"=dword:00000001
   • "salrtybek"=dword:00000001
   • "seeukluba"=dword:00000001
   • "jrjakdsd"=dword:00000001
   • "krkdkdkee"=dword:00000001
   • "dkewiizkjdks"=dword:00000001
   • "dkekkrkska"=dword:00000001
   • "rkaskssd"=dword:00000001
   • "kuruhccdsdd"=dword:00000001
   • "krujmmwlrra"=dword:00000001
   • "kkwknrbsggeg"=dword:00000001
   • "ktknamwerr"=dword:00000001
   • "iqmcnoeqz"=dword:00000001
   • "ienotas"=dword:00000001
   • "krkmahejdk"=dword:00000001
   • "otpeppggq"=dword:00000001
   • "krtawefg"=dword:00000001
   • "oranerkka"=dword:00000001
   • "kitiiwhaas"=dword:00000001
   • "otowjdseww"=dword:00000001
   • "otnnbektre"=dword:00000001
   • "oropbbsee"=dword:00000001
   • "irprokwks"=dword:00000001
   • "ooorjaas"=dword:00000001
   • "id"="70.10"

– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKLM\Software\AVSS]


Vengono cambiate le seguenti chiavi di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Nuovo valore:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   Nuovo valore:
   • "EnabledV8"=dword:00000000
   • "Enabled"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valore precedente:
   • "ProxyEnable"=dword:00000000
   Nuovo valore:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Patrick Schoenherr su martedì 13 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su giovedì 15 luglio 2010

Indietro . . . .