Nome del virus:TR/Drop.Wsgame.A
Scoperto:26/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:108.704 Byte
Somma di controllo MD5:071138040C52088bb16a11760F19fc9f
Versione IVDF:7.10.09.196 - lunedì 26 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Artemis!071138040C52
   •  Sophos: Sus/UnkPack-C
   •  Microsoft: TrojanDropper:Win32/Frethog.K
   •  Panda: Trj/CI.A
   •  AhnLab: Trojan/Win32.OnlineGameHack
   •  DrWeb: Trojan.PWS.Wsgame.23196
   •  Ikarus: Worm.Win32.Taterf


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Modifica del registro

 File Copia il seguente file:
    •  %WINDIR%\notepad.exe in %WINDIR%\%stringa di caratteri casuale%



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\ahnoo0.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Wsgame.A

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "%CLSID%"="hook dll rising"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\%CLSID%\InprocServer32]
   • "(Default)"="%SYSDIR%\ahnoo0.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\%CLSID%]
– [HKCR\CLSID\%CLSID%]
   • "VcbitExeModuleName"="%directory di esecuzione del malware%\%file eseguiti%"
   • "VcbitDllModuleName"="%SYSDIR%\ahnoo0.dll"
   • "VcbitSobjEventName"="CVBASDDOOPADSAMN_0"

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Carlos Valero Llabata su giovedì 12 agosto 2010
Descrizione aggiornata da Carlos Valero Llabata su giovedì 12 agosto 2010

Indietro . . . .