Nome del virus:TR/FakeAV.LBQ
Scoperto:19/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:45.568 Byte
Somma di controllo MD5:d7c2473852f25cc0a06094d9e9130Fac
Versione IVDF:7.10.09.110 - lunedì 19 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.TDSS.ur
   •  F-Secure: Trojan.FakeAV.LBQ
   •  Sophos: Mal/TDSSPk-AD
   •  Bitdefender: Trojan.FakeAV.LBQ
   •  Microsoft: Trojan:Win32/Meredrop
   •  AVG: Agent2.AZMO
   •  VirusBuster: Trojan.Meredrop.ABKU
   •  Eset: Win32/Olmarik.ABS
   •  Sunbelt: Trojan.Win32.Meredrop
   •  GData: Trojan.FakeAV.LBQ
   •  AhnLab: Backdoor/Win32.TDSS
   •  DrWeb: Trojan.PWS.IpDiscover.17
   •  Ikarus: Trojan.Win32.Meredrop


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Reindirizza ad un sito web infetto

 File Si copia alla seguente posizione:
   • %APPDATA%\b3bfd04c.exe



Vengono creati i seguenti file:

%SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/FakeAV.LBQ

%WINDIR%\Tasks\b3bfd04c.job
%SYSDIR%\ernel32.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/FakeAV.LBQ

 Registro Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "UacDisableNotify"=dword:00000000
   Nuovo valore:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Valore precedente:
   • "NameServer"="%indirizzo IP%"
   • "DhcpNameServer"="%indirizzo IP%"
   Nuovo valore:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   Valore precedente:
   • "NameServer"="%indirizzo IP%"
   • "DhcpNameServer"="%indirizzo IP%"
   Nuovo valore:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

 Come il virus si inserisce nei processi – Si inserisce nei processi.

    Tutti i seguenti processi:
   • spoolsv.exe
   • svchost.exe


Descrizione inserita da Patrick Schoenherr su lunedì 26 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su lunedì 26 luglio 2010

Indietro . . . .