Nome del virus:WORM/Esfury.A.91
Scoperto:29/06/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:40.960 Byte
Somma di controllo MD5:805cad883ad580cd2bcc5347b2ef431a
Versione VDF:7.10.03.196
Versione IVDF:7.10.08.214 - martedì 29 giugno 2010

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Unità di rete mappata


Alias:
   •  Kaspersky: Trojan.Win32.VB.agxe
   •  TrendMicro: WORM_VBNA.AC
   •  Sophos: Mal/SillyFDC-F
   •  Microsoft: Worm:Win32/Esfury.A
   •  Panda: W32/Esfury.A
   •  VirusBuster: Trojan.VB.JSZE
   •  Eset: Win32/AutoRun.VB.QQ
   •  Sunbelt: Worm.Win32.Esfury
   •  AhnLab: Win32/Esfury.worm.40960
   •  DrWeb: Win32.HLLW.Autoruner.25669
   •  Fortinet: W32/VB.AGXE!tr
   •  Ikarus: Trojan.Win32.VB
   •  Norman: W32/Silly.BX


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Scarica un file
   • Scarica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %HOME%\%username%1\winlogon.exe
   • %unità disco%\drivesguideinfo\svchost.exe



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

– %HOME%\%username%1\VERSION.TXT Questo è un file di testo “non maligno” con il seguente contenuto:
   • 195




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://0-0-1-0-0-1-0-0-1-1-1-1-0-1-0-**********
Viene salvato in locale sotto: %HOME%\%username%1\WLO.EXE Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://0-0-1-0-0-0-1-0-1-0-0-1-0-0-**********
Viene salvato in locale sotto: %HOME%\%username%1\winhelp32.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/VBNA.B.370

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Alexandru Dinu su giovedì 12 agosto 2010
Descrizione aggiornata da Alexandru Dinu su giovedì 12 agosto 2010

Indietro . . . .