Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Scar.bxqc
Scoperto:24/03/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:225.280 Byte
Somma di controllo MD5:0f728c1187e046662148ee7021e4b3b1
Versione VDF:7.10.02.73
Versione IVDF:7.10.05.192 - mercoledì 24 marzo 2010

 Generale Alias:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\into.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\wmimgr32.dl_



Vengono creati i seguenti file:

%SYSDIR%\wmimgr32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Sality.L.1




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.invis1blearm3333.com/**********/?id607421


– Le posizioni sono le seguenti:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%numero%&domainname=%stringa carattere%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%stringa carattere%&dm=%stringa carattere%


– La posizione è la seguente:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%numero%




Prova ad eseguire il seguente file:

– Nome del file:
   • %WINDIR%\syste

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%file eseguiti%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Backdoor Le seguenti porte sono aperte:

– sam5.mom**********.com sulla porta UDP 5051
– sam2.123**********.com sulla porta UDP 5051

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\wmimgr32.dll

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Petre Galan su venerdì 23 luglio 2010
Descrizione aggiornata da Andrei Ivanes su venerdì 30 luglio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.