Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Agent.aap
Scoperto:15/04/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:607.744 Byte
Somma di controllo MD5:5b476a304acd0a22b28264d8876d4989
Versione VDF:7.10.02.159
Versione IVDF:7.10.06.108 - giovedì 15 aprile 2010

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Email
   • Peer to Peer


Alias:
   •  Bitdefender: Worm.Generic.235118
   •  Panda: W32/P2PShared.U
   •  Eset: Win32/Merond.O


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\Googleuy.exe
   • %unità disco%\RECYCLER\%CLSID%\redmond.exe



Cancella il seguente file:
   • %SYSDIR%\rundll31.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%unità disco%\RECYCLER\%CLSID%\Desktop.ini
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: JS/Dursg.B

%SYSDIR%\runocx13.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Buzus.HC

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%SYSDIR%\rundll31.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Prolaco.212992.E

– %HOME%\Application Data\SystemProc\lsass.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Prolaco.212992.E




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://controllrequest.com/**********?aid=%stringa carattere%


– La posizione è la seguente:
   • http://dominatorcontroll.com/**********?pop=%numero%&aid&sid&key


– La posizione è la seguente:
   • http://stepandomain.com/**********?aid=%stringa carattere%&ver=%numero%


– La posizione è la seguente:
   • http://controllrequest.com/**********?sd=%stringa carattere%&aid=%stringa carattere%




Prova ad eseguire i seguenti file:

– Nome del file:
   • "%SYSDIR%\rundll31.exe"


– Nome del file:
   • "%SYSDIR%\runocx13.exe"


– Nome del file:
   • "%HOME%\Application Data\SystemProc\lsass.exe"

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater 5"="%SYSDIR%\Googleuy.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\Googleuy.exe"="%SYSDIR%\Googleuy.exe:*:Enabled:Explorer"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "tyrina7"="06"
   • "tyrina8"="24"

– [HKCU\Identities]
   • "Curr version"="%numero%"
   • "Inst Date"="%data corrente%"
   • "Last Date"="%data corrente%"
   • "Popup count"="0"
   • "Popup date"="0"
   • "Popup time"="0"
   • "Send Inst"="ok"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Il seguente:
   • You have received A Hallmark E-Card!



Corpo dell'email:
– Contiene codice HTML.


File allegato:

L'allegato è un archivio che contiene una copia del malware stesso.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione: Cerca le seguenti directory:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Se riuscito, i seguenti file vengono creati:
   • YouTubeGet 5.6.exe; Youtube Music Downloader 1.3.exe; WinRAR v3.x
      keygen [by HiXem].exe; Windows2008 keygen and activator.exe; [+ MrKey
      +] Windows XP PRO Corp SP3 valid-key generator.exe; Windows Password
      Cracker + Elar3 key.exe; [Eni0j0 team] Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe; Website Hacker.exe;
      [Eni0j0 team] Vmvare keygen.exe; VmWare 7.x keygen.exe; UT 2003
      KeyGen.exe; Twitter FriendAdder 2.3.9.exe; Tuneup Ultilities 2010.exe;
      [antihack tool] Trojan Killer v2.9.4173.exe; Total Commander7
      license+keygen.exe; Super Utilities Pro 2009 11.0.exe; Sub7 2.5.1
      Private.exe; Sophos antivirus updater bypass.exe; sdbot with NetBIOS
      Spread.exe; [fixed]RapidShare Killer AIO 2010.exe; Rapidshare Auto
      Downloader 3.8.6.exe; Power ISO v4.4 + keygen milon.exe; [patched,
      serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe;
      [patched, serial not needed] PDF to Word Converter 3.4.exe; PDF
      password remover (works with all acrobat reader).exe; Password
      Cracker.exe; Norton Internet Security 2010 crack.exe; Norton
      Anti-Virus 2010 Enterprise Crack.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; NetBIOS Hacker.exe; NetBIOS Cracker.exe;
      [patched, serial not need] Nero 9.x keygen.exe; Myspace theme
      collection.exe; MSN Password Cracker.exe; Mp3 Splitter and Joiner Pro
      v3.48.exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe; Microsoft
      Visual Studio KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Microsoft
      Visual Basic KeyGen.exe; McAfee Total Protection 2010 [serial patch by
      AnalGin].exe; Magic Video Converter 8.exe; LimeWire Pro v4.18.3
      [Cracked by AnalGin].exe; L0pht 4.0 Windows Password Cracker.exe;
      K-Lite Mega Codec v5.2 Portable.exe; K-Lite Mega Codec v5.2.exe;
      Keylogger unique builder.exe; Kaspersky Internet Security 2010
      keygen.exe; Kaspersky AntiVirus 2010 crack.exe; IP Nuker.exe; Internet
      Download Manager V5.exe; Image Size Reducer Pro v1.0.1.exe; ICQ Hacker
      Trial version [brute].exe; Hotmail Hacker [Brute method].exe; Hotmail
      Cracker [Brute method].exe; Half-Life 2 Downloader.exe; Grand Theft
      Auto IV [Offline Activation + mouse patch].exe; Google SketchUp 7.1
      Pro.exe; G-Force Platinum v3.7.6.exe; FTP Cracker.exe; DVD Tools Nero
      10.x.x.x.exe; Download Boost 2.0.exe; Download Accelerator Plus
      v9.2.exe; Divx Pro 7.x version Keymaker.exe; DivX 5.x Pro KeyGen
      generator.exe; DCOM Exploit archive.exe; Daemon Tools Pro 4.8.exe;
      Counter-Strike Serial key generator [Miona patch].exe; CleanMyPC
      Registry Cleaner v6.02.exe; Brutus FTP Cracker.exe; Blaze DVD Player
      Pro v6.52.exe; BitDefender AntiVirus 2010 Keygen.exe; Avast 5.x
      Professional.exe; Avast 4.x Professional.exe; Ashampoo Snap 3.xx
      [Skarleot Group].exe; AOL Password Cracker.exe; AOL Instant Messenger
      (AIM) Hacker.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Anti-Porn
      v13.x.x.x.exe; Alcohol 120 v1.9.x.exe; Adobe Photoshop CS4 crack by
      M0N5KI Hack Group.exe; Adobe Illustrator CS4 crack.exe; Adobe Acrobat
      Reader keygen.exe; Ad-aware 2010.exe; [patched, serial not needed]
      Absolute Video Converter 6.2-7.exe


 Backdoor Viene aperta la seguente porta:

– javaupdate.ser**********.org sulla porta TCP 443

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
   • cialis; pharma; casino; finance; mortgage; insurance; gambling;
      health; hotel; travel; antivirus; antivir; pocker; poker; video; baby;
      bany; porn; golf; diet; vocations; design; graphic; football; footbal;
      estate; job; baseball; shop; books; gifts; money; spyware; credit;
      loans; loan; dating; ebay; myspace; virus; film; ipod; verizon;
      amazon; iphone; software; movie; mobile; bank; music; cars;
      craigslist; game; sex; sport; medical; school; wallpaper; dvd;
      military; weather; twitter; fashion; spybot; trading; tramadol; yobt;
      flower; cigarettes; doctor; flights; airlines; comcast

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://whatismyip.com/automation/n09230945.asp

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 21 luglio 2010
Descrizione aggiornata da Andrei Ivanes su giovedì 29 luglio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.