Descrizione completa

Nome del virus:	TR/Dldr.Agent.eckq
Scoperto:	28/07/2010
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	118.784 Byte
Somma di controllo MD5:	a8dbf047f8b6d0eb40c01307ab798c28
Versione IVDF:	7.10.09.249 - mercoledì 28 luglio 2010

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Agent.eckq
   • Eset: a variant of Win32/Injector.CLP
   • AhnLab: Downloader/Win32.Agent

Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
• %HOME%\user1\winlogon.exe

Prova a scaricare un file:

– La posizione è la seguente:
• http://0-1-0-**********-0-0.info/VERSION.TXT
Viene salvato in locale sotto: %HOME%\user1\VERSION.TXT

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\user1\winlogon.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnt.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avsched32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avrescue.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avpmon.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\penis32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\periscope.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\persfw.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\perswf.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\pf2.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

Vengono cambiate le seguenti chiavi di registro:

Pagina iniziale di Internet Explorer:

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Local Page"="c:\windows\\system32\\blank.htm"
   • "Start Page"="about:blank"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Nuovo valore:
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Default_Page_URL"="http://www.nuevaq.fm"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Local Page"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
   • 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
   • 62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d,00,00,00
   • "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   Nuovo valore:
   • "Default_Page_URL"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"

Come il virus si inserisce nei processi – Si inserisce in un processo.

Nome del processo:
• svchost.exe

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Patrick Schoenherr su giovedì 29 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su giovedì 29 luglio 2010

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti