Descrizione completa

Nome del virus:	TR/Dldr.Agent.eckq
Scoperto:	28/07/2010
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	118.784 Byte
Somma di controllo MD5:	a8dbf047f8b6d0eb40c01307ab798c28
Versione IVDF:	7.10.09.249 - mercoledì 28 luglio 2010

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Agent.eckq
   • Eset: a variant of Win32/Injector.CLP
   • AhnLab: Downloader/Win32.Agent

Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
• %HOME%\user1\winlogon.exe

Prova a scaricare un file:

– La posizione è la seguente:
• http://0-1-0-**********-0-0.info/VERSION.TXT
Viene salvato in locale sotto: %HOME%\user1\VERSION.TXT

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\user1\winlogon.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnt.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avsched32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avrescue.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avpmon.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\penis32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\periscope.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\persfw.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\perswf.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\pf2.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

Vengono cambiate le seguenti chiavi di registro:

Pagina iniziale di Internet Explorer:

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Local Page"="c:\windows\\system32\\blank.htm"
   • "Start Page"="about:blank"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Nuovo valore:
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Default_Page_URL"="http://www.nuevaq.fm"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Local Page"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
   • 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
   • 62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d,00,00,00
   • "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   Nuovo valore:
   • "Default_Page_URL"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"

Come il virus si inserisce nei processi – Si inserisce in un processo.

Nome del processo:
• svchost.exe

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Patrick Schoenherr su giovedì 29 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su giovedì 29 luglio 2010

Indietro . . . .