Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Spybot.95744
Scoperto:06/05/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:95.744 Byte
Somma di controllo MD5:19ad756af282a3af98dc50f3c40e51b0
Versione IVDF:6.30.00.159 - venerdì 6 maggio 2005

 Generale Alias:
   •  Mcafee: Generic.dx
   •  Bitdefender: Trojan.Generic.3291040
   •  Eset: Win32/Poebot.NCA


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Abbassa le impostazioni di sicurezza
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\spooIsv.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %directory di esecuzione del malware%\kgorzsd.bat



Viene creato il seguente file:

%directory di esecuzione del malware%\kgorzsd.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova ad eseguire i seguenti file:

– Nome del file:
   • cmd /c ""%directory di esecuzione del malware%\kgorzsd.bat" "


– Nome del file:
   • %SYSDIR%\spooIsv.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spooIsv.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\spooIsv.exe"="%SYSDIR%\spooIsv.exe:*:Enabled:Spooler
      SubSystem App"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: her.d0k**********.com
Porta: 4466
Canale: #balengor
Nickname: d[cUnawXg]b

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Borland C++.

Descrizione inserita da Petre Galan su giovedì 12 agosto 2010
Descrizione aggiornata da Petre Galan su giovedì 12 agosto 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.