Nome del virus:TR/Fake.SecSui.O
Scoperto:12/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:293.632 Byte
Somma di controllo MD5:29891f565c522214bec5ee4e5f635ceb
Versione VDF:7.10.09.72

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Kaspersky: Trojan.Win32.FraudPack.azkf
   •  Microsoft: Trojan:Win32/FakeSpypro
   •  Panda: Trj/CI.A
   •  Eset: Win32/Adware.SpywareProtect2009
   •  AhnLab: Trojan/Win32.FraudPack
   •  DrWeb: Trojan.Fakealert.18283


Piattaforma / Sistema operativo:
   • Windows XP


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Disattiva le applicazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\AVSS]
– [HKLM\Software\AVSS]
– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"



Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valore precedente:
   • "ProxyEnable"=dword:00000000
   Nuovo valore:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""
   •

Descrizione inserita da Florian Burlefinger su mercoledì 14 luglio 2010
Descrizione aggiornata da Florian Burlefinger su giovedì 15 luglio 2010

Indietro . . . .