Nome del virus:TR/Hosts.AQ.1
Scoperto:09/08/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:2.724.864 Byte
Somma di controllo MD5:575cb9dd8434d2e074ba24a63ac51b25
Versione IVDF:7.10.10.121 - lunedì 9 agosto 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.efqa
   •  Sophos: Mal/FakeAV-EA
   •  Avast: Win32:Crypt-HFP
   •  Microsoft: Trojan:Win32/FakeVimes
   •  Panda: Adware/MySecurityShield
   •  Eset: Win32/Kryptik.FWJ
   •  GData: Win32:Crypt-HFP
   •  AhnLab: Win-Trojan/Fakeav.2724864
   •  DrWeb: Trojan.FakeSecure.15
   •  Ikarus: Trojan.Win32.FakeVimes


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica un file
   • Duplica file “maligni”
   • Infetta file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Modifica il seguente file:
   • %SYSDIR%\drivers\etc\hosts



Copia il seguente file:
    •  %SYSDIR%\drivers\etc\hosts in %SYSDIR%\drivers\etc\hosts_new



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– %ALLUSERSPROFILE%\Application Data\%directory scelta casualmente%\%stringa di caratteri casuale%.cfg Viene eseguito ulteriormente dopo che è stato completamente creato. Questo è un file di testo “non maligno” che contiene informazioni sul programma stesso.
%SYSDIR%\drivers\etc\hosts_new

 Registro Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Internet Explorer]
   Nuovo valore:
   • "IIL"=-
   • "ltHI"=-
   • "ltTST"=-
   • "PRS"=-
   • "BID"=-

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è reindirizzato ad altre destinazioni:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Carlos Valero Llabata su venerdì 13 agosto 2010
Descrizione aggiornata da Carlos Valero Llabata su venerdì 13 agosto 2010

Indietro . . . .