Nome del virus:TR/SpamBot.E
Scoperto:19/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:55.808 Byte
Somma di controllo MD5:64ce27a4edc375f5dcb68b8641738f34
Versione IVDF:7.10.09.151 - mercoledì 21 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Spam-Mailbot.m
   •  Sophos: Mal/FakeAV-CZ
   •  Microsoft: Spammer:Win32/Tedroo
   •  Panda: Bck/Bredolab.AZ
   •  DrWeb: Trojan.Spambot.6788


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Modifica del registro
   • Utilizza un proprio motore SMTP per l'invio di email

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

Varie opzioni di Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Nuovo valore:
   • "id"="F15ECF88A2EC"
   • "remove"="%file eseguiti%"

 Email Contiene un motore SMTP integrato per inviare spam. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi generati


Oggetto:
Il seguente:
   • %indirizzo email del ricevente% VIAGRA ® Official Site -45%



Corpo dell'email:
– Contiene codice HTML.



L’email si presenta come di seguito:


 Backdoor Contatta il server:
Il seguente:
   • http://19**********3.62/82567/kelly.php

Come risultato viene fornita la capacità di controllare da remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Capacità di controllo remoto:
    • Inviare email
    • Riferito allo spam

Descrizione inserita da Patrick Schoenherr su giovedì 22 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su giovedì 22 luglio 2010

Indietro . . . .