Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/A.108544
Scoperto:27/04/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:108.544 Byte
Somma di controllo MD5:0227e05f0183120ac3e5b8df4086961f
Versione IVDF:7.10.06.222 - martedì 27 aprile 2010

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Email


Alias:
   •  Sophos: Troj/DelfInj-Q
   •  Bitdefender: Trojan.Generic.3822680
   •  Panda: W32/Pinit.J.worm
   •  Eset: Win32/Peerfrag.FD


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Scarica file maligni
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %cestino%\%CLSID%\mgrls32.exe



Cancella i seguenti file:
   • %TEMPDIR%\husu.exe
   • %SYSDIR%\DRIVERS\SET5.tmp
   • %TEMPDIR%\587.exe
   • %TEMPDIR%\bohvby.exe
   • %SYSDIR%\drivers\aec.sys
   • %SYSDIR%\drivers\aec.sys.bak
   • %TEMPDIR%\joujbvje.exe
   • %TEMPDIR%\hqgqrnbdunn.bat



Vengono creati i seguenti file:

%cestino%\%CLSID%\Desktop.ini
%HOME%\ndisrd_m.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%HOME%\ndisrd.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%temporary internet files%\fjnvpk[1].htm Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%TEMPDIR%\wsqptq.exe
%SYSDIR%\DRIVERS\SET5.tmp
%SYSDIR%\DRIVERS\ndisrd.sys
%temporary internet files%\fwevpovto[1].htm Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Spy.Gen

%HOME%\snetcfg.exe
%unit disco%\lsass.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Spy.Gen

%HOME%\Application Data\Microsoft\Crypto\RSA\%CLSID%\a18ca4003deb042bbee7a40f15e1970b_1c1a3893-4672-472f-afbd-f2c903f9947c
%HOME%\ndisrd.sys
%TEMPDIR%\184.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Rimecud.N.3

%TEMPDIR%\jfrevf.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/ATRAPS.Gen

%TEMPDIR%\mcillbuu.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%temporary internet files%\oriqbjdp[1].htm Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/ATRAPS.Gen

%TEMPDIR%\awkvrft.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%TEMPDIR%\bohvby.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.ZPACK.Gen

%SYSDIR%\regedit.exe
%TEMPDIR%\husu.exe
%TEMPDIR%\nrktcvy.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Spy.Gen

%SYSDIR%\drivers\aec.sys
%HOME%\drvsign.exe
%TEMPDIR%\hqgqrnbdunn.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.
%TEMPDIR%\587.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Agent.AO.1250

%temporary internet files%\rvqxfn[1].htm
%temporary internet files%\imwaic[1].htm Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

%TEMPDIR%\joujbvje.exe
%temporary internet files%\fwelcx[1].htm
%SYSDIR%\drivers\zibmaunkvy9.sys Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: RKit/Tent.aui

%TEMPDIR%\a82d79a1.tmp
%temporary internet files%\loaderadv600[1].exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Agent.AO.1250

%temporary internet files%\hypwhc[1].htm
%cestino%\%CLSID%\vsbntlo.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Rimecud.N.3

%temporary internet files%\yptozgozmu[1].htm Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Crypt.ZPACK.Gen

%temporary internet files%\pr3xyy[1].exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Rimecud.N.3

%SYSDIR%\drivers\aec.sys.bak



Prova a scaricare dei file:

La posizione la seguente:
   • http://81.214.13**********.58/?7c222e27396f222c272a2e396a22282c2e3969222c2e2b28397d222f397b222e396c222e2f29262f272f397a225c25434b7a726f43716d746b7c6966317a677a3978227671766b1f


La posizione la seguente:
   • http://115.85.23**********.119/?560805134508060d00041340080206041343080604010213570805135108041346080405030c050d05135008760f6961505845695b475e4156434c1b504d501352085c5b5c4135


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


Le posizioni sono le seguenti:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%
   • http://bedayton.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://go-thailand-now.com/**********?user=%stringa carattere%


Le posizioni sono le seguenti:
   • http://89.214.**********.17/?7e20283b6d202e25282c3b68202a2e2c3b6b202e2c292a3b7f202d3b79202c3b6e202c2d2b242d252d3b78205e27414978706d41736f76697e6b64337865783b7a20747374691d
   • http://62.149.**********.17/?9bc5c9cfde88c5cbc0cdc9de8dc5cfcbc9de8ec5cbc9cccfde9ac5c8de9cc5c9de8bc5c9c8cec1c8c0c8de9dc5bbc2a4ac9d9588a4968a938c9b8e81d69d809dde9fc59196918cf8


La posizione la seguente:
   • http://go-thailand-now.com/**********?mode=%stringa carattere%&f=%numero%


La posizione la seguente:
   • http://go-thailand-now.com/**********?file=%stringa carattere%


La posizione la seguente:
   • http://aebankonline.com/yulgbvqk/**********?id=%stringa carattere%&p=%numero%


La posizione la seguente:
   • http://go-thailand-now.com/**********?num=%numero%


Le posizioni sono le seguenti:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%
   • http://bedayton.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://89.146.16**********.198/?c49a969581d79a949f929681d29a90949681d19a9496939081c59a9781c39a9681d49a9697919e979f9781c29ae49dfbf3c2cad7fbc9d5ccd3c4d1de89c2dfc281c09acec9ced3a7


La posizione la seguente:
   • http://89.146.13**********.94/?c59b979580d69b959e939780d39b91959780d09b9597929180c49b9680c29b9780d59b9796909f969e9680c39be59cfaf2c3cbd6fac8d4cdd2c5d0df88c3dec380c19bcfc8cfd2a6


La posizione la seguente:
   • http://196.217.**********.104/?adf3fffae8bef3fdf6fbffe8bbf3f9fdffe8b8f3fdfffaf9e8acf3fee8aaf3ffe8bdf3fffef8f7fef6fee8abf38df4929aaba3be92a0bca5baadb8b7e0abb6abe8a9f3a7a0a7bace


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


Le posizioni sono le seguenti:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%
   • http://bedayton.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


Le posizioni sono le seguenti:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%
   • http://bedayton.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


Le posizioni sono le seguenti:
   • http://208.110.82.186/**********
   • http://96.0.203.114/**********


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


Le posizioni sono le seguenti:
   • http://go-thailand-now.com/**********?876377c509c3a3f1b59f91d4c2f18b0e
   • http://go-thailand-now.com/**********?a2c44929ca4ccf3fda5849fe6a74f9a7


La posizione la seguente:
   • http://208.53.183.4/**********


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%


La posizione la seguente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%stringa carattere%&code1=%stringa carattere%&code2=%numero%&id=%stringa carattere%&p=%numero%


La posizione la seguente:
   • http://go-thailand-now.com/**********?sub=%stringa carattere%&fid=%numero%


La posizione la seguente:
   • http://go-thailand-now.com/**********?sessid=%stringa carattere%


La posizione la seguente:
   • http://!/**********?t=%numero%&a&id=%stringa carattere%


La posizione la seguente:
   • http://bedayton.com/**********




Prova ad eseguire i seguenti file:

Nome del file:
   • %TEMPDIR%\587.exe


Nome del file:
   • %TEMPDIR%\jfrevf.exe


Nome del file:
   • %TEMPDIR%\awkvrft.exe


Nome del file:
   • %TEMPDIR%\wsqptq.exe


Nome del file:
   • "drvsign.exe"


Nome del file:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\587.exe > nul


Nome del file:
   • "snetcfg.exe" -v -l ndisrd.inf -m ndisrd_m.inf -c s -i nt_ndisrd


Nome del file:
   • runonce -r


Nome del file:
   • %TEMPDIR%\184.exe


Nome del file:
   • %TEMPDIR%\husu.exe


Nome del file:
   • %TEMPDIR%\joujbvje.exe


Nome del file:
   • %TEMPDIR%\nrktcvy.exe


Nome del file:
   • c:\lsass.exe exe %TEMPDIR%\nrktcvy.exe


Nome del file:
   • %TEMPDIR%\mcillbuu.exe


Nome del file:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\husu.exe > nul


Nome del file:
   • %TEMPDIR%\bohvby.exe


Nome del file:
   • cmd /c %TEMPDIR%\hqgqrnbdunn.bat

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\System\CurrentControlSet\Services\ndisrd]
   • "DisplayName"="WinpkFilter Service"
   • "ErrorControl"=dword:0x00000001
   • "Group"="PNP_TDI"
   • "ImagePath"="system32\DRIVERS\ndisrd.sys"
   • "Start"=dword:0x00000003
   • "Tag"=dword:0x00000009
   • "Type"=dword:0x00000001



Il valore della seguente chiave di registro viene rimosso:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • internat.exe



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder]
   • "@"="Sample Netcfg Application (netcfg.exe)"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Parameters]
   • "Param1"="4"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi]
   • "FilterClass"="failover"
   • "FilterDeviceInfId"="nt_ndisrdmp"
   • "HelpText"="WinpkFilter Driver"
   • "Service"="Ndisrd"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi\Interfaces]
   • "FilterMediaTypes"="ethernet, wan"
   • "LowerRange"="nolower"
   • "UpperRange"="noupper"

[HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0010]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%valori esadecimali%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{3176222F-F7CE-4460-BF0E-40F4C354CAD0}"
   • "ProviderName"="NTKR"

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "DHCP"="1069080"
   • "DNS"="AF6A3860,70CA3F13,1BF8782F,1BFF0A84,59B04312,D935A410,75C51962,75FEE8C0,7448CC6D,73F26375,1BF82AA1,76A1C295,744A298D,4F77A590,779A3332,73F1CC48,71203C96,D935A439,71C192E5,51541DED,53D80338,75FE0DD7,BDC26A29,7D636C89,75FEE135,77987384,BEAE0F53,75C2037C,3B5EED10,75FE7F74,75C32849,57442D77,598939D3,75C91217,70C5A4B6,70C52A68,6F5C886F,75C7B4BA,597B25C0,71C18E2C,73F208AF,779A8244,75C5B277,7A8A11A8,79F52698,B603C830,5EB7431A,59259351,75C59098,75C84704,77985045,75C003AA,29D6DE85,7C7880E9,779A79F1,70C9B1A6,75CC4477,BC191310,744A6621,BEF14F44,592E4343,5744F4D8,73BA06B0,70CB8C08,5B8998FB,779A827E,79F55472,7C7D5229,BD30D14B,75C541DB,75C7E1EF,74620477,B7574547,4E274B08,7375A14C,4E274B86,3BA17F28,779A7392,7375A6CC,75C6E399,3D02C121,7978AE86,D4105AEC,79180F5A,75C5906E,4D4E1302,70C8DFB3,73F09F78,3B676444,7375F50D,B6022311,73F0DB2F,BDDD995A,CA08EE7B,7C7B9672,75CF3606,70CACC5A,567E457D,70CB83E3,70C5DD42,3D01F761,5D9C625B,5429313A,BA5907D9,B630FEBC,592DDAF3,70C5077B,7BED2C4E,B6000BBE,CBC0E6A8,BB222A98,4E2724C8,737F08F3,CBC186DB,75C404EA,3BA1338B,546DC46E,77A64585,75C69E0F,BB037BF5,75CD11D3,70CA6B11,779A7141,7357A43A,6F5C8DB2,7CFDA5A1,BC1A1A3A,73F1CB4F,6DBA748E,70C9A8E5,D5A10549,70C5BC7F,70C5764A,B6042CA1,5EBDB005,59853196,3BA138F0,788A7EE4,779A3121,71FCF5B3,C4CE501C,73FC209B,73FC269D,29F83B00,70C5860C,75CE3313,765E52DC,73F0CF56,714C5E12,4DED43DB,762F6F3A,4FA36A09,70C5852A,73BA7306,5B89982B,79F56421,70CB9E79,73B89CE7,B45C9C2E,74620609,BB5A999E,599BC728,BB0F13A5,75C63246,7375CDCD,CA803015,70CD189F,576DE7DE,CA83A4BB,79E37365,3B59342C,3E8BDACB,75C4E570,779A778C,5C24DBD9,5DB189D7,29F92E6E,C9516F26,75C807AF,75CD61AA,75C7C420,C8140BC6,29D98B11,75FE0818,54FDCEAF,779A7F92,70C818E4,558255FB,C4CE681F,779A32C6,724FA678,5B490D6B,75C948EF,7BED442D,BA511B3D,73F1A5C1,75CF2545,CB7357E2,75C30E54,4F75A47A,7C7B7B41,5290BC31,4E3AA622,73B8DBDF,75F15882,4E274B0E,BA0E4535,6EE27356,7448D173,73F18EDE,59B8D9C0,7798FCB6,70CAA0E3,75C94AB0,B69C9F46,295C210D,79F536A6,74EE4131,779A24F6,71C1DADC,73FC2B41,779A74FE,3BA1390C,5EB7F4DB,79F56C7F,CBD727CF,3B5FD208,CEF840E1,4E274B3C,C4CE5957,7000F18B,50DDF9D1,5E345528,5744A38F,7449291C,79F51991,5D67AFC5,B75745F1,C85F9A7F,5B93DDC7,55CA2942,29CFDA4B,BCAD4294,4D4EF4AB,70C9A366,C4DA5732,BDC11407,C4CE56D6,5F6C0A6D,71C14A90,7C8234A4,C86D3D8C,70CE4E2C,BC1946F2,59D46501,7BEE798A,29FB8E36,5EB74357,BE496A74,5057F060,BE8E0D70,7C7B8FBF,3E8BDABE,C4D92A2A,7BEE7A3D,779A0CB4,70C5C2C7,6F5C8CBA,C9FE2C2F,3D01128A,C4D9D4A4,BE9E5CE3,73B8F15C,71C1E6D0,779A46EA,75C83B68,71C14E28,70C573C0,5928C587,CAA02E7A,75C7B3D7,5B539969,75FEA3C4,75621260,7BED1BDA,3B5E2DA1,7113210F,75FE6C09,3B5F64B5,5D674B2D,73F22E63,70CE0C55,75C95D7F,75CD221F,7A23564C,BE619917,7C7B0898,4F72794D,C89FC45B,75C51827,70CE55A0,7961A29A,70C525B7,3B6089DE,75C8C155,73A45184,73A4DBAF,79F58C00,BC81E8C7,3B5F0999"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
   • "WinpkFilter Miniport"="1"

[HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0011]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%valori esadecimali%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{43179874-A743-444B-9A07-D10E4D8F4308}"
   • "ProviderName"="NTKR"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Driver Signing]
   Nuovo valore:
   • "Policy"=hex:0

[HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Nuovo valore:
   • "MaxUserPort"=dword:0x0000fffe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
   Nuovo valore:
   • "PrivateHash"="%valori esadecimali%"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Il seguente:
   • Lonely Wives Looking For Hookup



Corpo dell'email:
– Contiene codice HTML.


File allegato:

L'allegato una copia del malware stesso.

 Backdoor Le seguenti porte sono aperte:

89.149.2**********.140 sulla porta UDP 8811
89.149.2**********.222 sulla porta TCP 65534

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 12 luglio 2010
Descrizione aggiornata da Petre Galan su martedì 20 luglio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.