Nome del virus:TR/FakeAV.HM.1
Scoperto:06/08/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:2.078.208 Byte
Somma di controllo MD5:8ebc07e25eb95adc7236406937728d18
Versione IVDF:7.10.10.99 - venerdì 6 agosto 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: FakeAlert-SysAV.a


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Duplica file “maligni”
   • Falsley segnala infezioni malware o problemi del sistema e offre all'utente le soluzioni, purché acquisti l'applicazione.
   • Modifica del registro


Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:



 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Sysinternals Antivirus\Sysinternals Antivirus.exe

– %HOME%\Desktop\Sysinternals Antivirus.lnk
%PROGRAM FILES%\svchost.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.25600.AA

%PROGRAM FILES%\wp4.dat
%PROGRAM FILES%\wp3.dat
%PROGRAM FILES%\adc_w32.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/BHO.CK

%PROGRAM FILES%\alggui.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.42496.AA

%TEMPDIR%\win1.tmp
%PROGRAM FILES%\nuar.old
%PROGRAM FILES%\scdata\dbsinit.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/FakeSC.A

 Registro Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}]


Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Sysinternals Antivirus]
– [HKCU\Software\Sysinternals Antivirus\Sysinternals Antivirus]
– [HKCU\Software\Sysinternals Antivirus\Sysinternals Antivirus\
   setdata]
– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}]
   • "(Default)"="ADC PlugIn"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32]
   • "(Default)"="%PROGRAM FILES%\adc_w32.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="%PROGRAM FILES%\alggui.exe "%1" %*"

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • %PROGRAM FILES%\svchost.exe

   Se il malware fallisce viene terminato.
   Se il malware riesce, viene visualizzato il seguente:


Descrizione inserita da Patrick Schoenherr su venerdì 6 agosto 2010
Descrizione aggiornata da Patrick Schoenherr su venerdì 6 agosto 2010

Indietro . . . .