Nome del virus:TR/Spy.Agent.144896
Scoperto:28/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:144.896 Byte
Somma di controllo MD5:d3de1f75b8151c284ab04819994c0Dc9
Versione IVDF:7.10.09.249 - mercoledì 28 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Downloader.MisleadApp
   •  Kaspersky: Trojan.Win32.FraudPack.bcet
   •  TrendMicro: TROJ_FAKEAV.SMXG
   •  F-Secure: Trojan:W32/Cosmu.Z
   •  Sophos: Mal/Behav-321
   •  Bitdefender: Trojan.Downloader.FakeAlert.FN
   •  Microsoft: TrojanDownloader:Win32/FakeRean
   •  AVG: Crypt.YBS
   •  Panda: Adware/DesktopSecurity2010
   •  PCTools: Downloader.MisleadApp
   •  VirusBuster: Trojan.Bredolab.DDF
   •  Eset: Win32/TrojanDownloader.FakeAlert.BAT
   •  GData: Trojan.Downloader.FakeAlert.FN
   •  AhnLab: Win-Trojan/Fakeav.144896.G
   •  Authentium: W32/Trojan3.BWP
   •  DrWeb: Trojan.DownLoad1.64194
   •  Fortinet: W32/Agent.AEB5!tr.dldr
   •  Ikarus: Trojan.Win32.FakeAV


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\MSN\MSNCoreFiles\Setup\MSNUNINCommunications.exe
   • %PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe
   • %PROGRAM FILES%\Windows Media Player\MicrosoftRPlayer9.00.00.3250.exe
   • %PROGRAM FILES%\MSN\MSNCoreFiles\msnmetalupdate.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.ex
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\1036\ApplicationReporting.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\qas1.tmp
   • %TEMPDIR%\qas2.tmp
   • %TEMPDIR%\qas3.tmp
   • %TEMPDIR%\qas4.tmp
   • %TEMPDIR%\qas5.tmp

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%file eseguiti%"="%directory di esecuzione del malware%\%file eseguiti%"
   • "KernelFaultCheck"="%systemroot%\system32\dumprep 0 -k"
   • "MicrosoftMicrosoft"="%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "%file eseguiti%"="%directory di esecuzione del malware%\%file eseguiti%"
   • "UpdateRegUtils"="%PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe"

– [HKLM\SOFTWARE\Microsoft\MediaPlayer\Setup\Files]
   • "1"=%valori esadecimali%
   • "2"=%valori esadecimali%
   • "3"=%valori esadecimali%
   • "4"=%valori esadecimali%

Descrizione inserita da Carlos Valero Llabata su giovedì 12 agosto 2010
Descrizione aggiornata da Carlos Valero Llabata su giovedì 12 agosto 2010

Indietro . . . .