Descrizione completa

Nome del virus:	TR/Hosts.BD
Scoperto:	23/08/2010
Tipo:	Trojan
Sottotipo:	Hosts
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	126.976 Byte
Somma di controllo MD5:	efaa4cad70db7d08aa32ba670260a0d5
Versione IVDF:	7.10.11.01 - lunedì 23 agosto 2010

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: W32.Pilleuz
   • Mcafee: Artemis!EFAA4CAD70DB
   • Kaspersky: Email-Worm.Win32.Joleee.fee
   • PCTools: Malware.Pilleuz
   • Eset: Win32/VB.PFT
   • AhnLab: Win-Trojan/Seint.126976.E
   • Authentium: W32/Trojan2.NDBD
   • DrWeb: Trojan.MulDrop1.42701
   • Fortinet: W32/Agent.E880!tr
   • Ikarus: Trojan.SuspectCRC

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Effetti secondari:
   • Duplica un file
   • Infetta file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %SYSDIR%\syscache.exe
   • %system drive%\%directory corrente%\%file eseguiti%

Modifica il seguente file:
   • %SYSDIR%\drivers\etc\hosts

Cancella la copia di se stesso eseguita inizialmente.

Viene creato il seguente file:

– %WINDIR%\%executed file name%.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "%executed file name%"="%SYSDIR%\syscache.exe"

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è reindirizzato ad altre destinazioni:
   • 127.0.0.1 download82.avast.com; 127.0.0.1 mcafeefans.com;
      127.0.0.1 www.trapware.com; 127.0.0.1
      http://downloads1.kaspersky-labs.com; 127.0.0.1 u40.eset.com;
      127.0.0.1 sunbelt-software.com; 127.0.0.1 www.kztechs.com;
      127.0.0.1 forum.jiangmin.com; 127.0.0.1
      dnl-kr15.kaspersky-labs.com; 127.0.0.1 u51.eset.com; 127.0.0.1
      download83.avast.com; 127.0.0.1 media.fastclick.net; 127.0.0.1
      www.trendmicro.com; 127.0.0.1 http://downloads2.kaspersky-labs.com;
      127.0.0.1 u41.eset.com; 127.0.0.1 sygate.com; 127.0.0.1
      www.lavasoft.nu; 127.0.0.1 f-prot.com; 127.0.0.1
      dnl-kr2.kaspersky-labs.com; 127.0.0.1 u52.eset.com; 127.0.0.1
      download84.avast.com; 127.0.0.1 microsoft.com; 127.0.0.1
      www.trendmicro.com.cn; 127.0.0.1
      http://downloads3.kaspersky-labs.com; 127.0.0.1 u42.eset.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.lavasoftusa.com; 127.0.0.1
       fr.bitdefender.com; 127.0.0.1 dnl-kr3.kaspersky-labs.com;
      127.0.0.1 u53.eset.com; 127.0.0.1 download85.avast.com;
      127.0.0.1 microsoft.fr; 127.0.0.1 www.trendmicro.fr; 127.0.0.1
       http://downloads4.kaspersky-labs.com; 127.0.0.1 u43.eset.com;
      127.0.0.1 symantec-ese.baynote.net; 127.0.0.1
      www.liutilities.com; 127.0.0.1 fr.drweb.com; 127.0.0.1
      dnl-kr4.kaspersky-labs.com; 127.0.0.1 u54.eset.com; 127.0.0.1
      download9.quickheal.com; 127.0.0.1 mirror02.gdata.de; 127.0.0.1
      www.uk.trendmicro-europe.com; 127.0.0.1 http://nod32.com; 127.0.0.1
       u44.eset.com; 127.0.0.1 tds.diamondcs.com.au; 127.0.0.1
      www.liveupdate.symantec.com; 127.0.0.1 fr.mcafee.com; 127.0.0.1
      dnl-kr5.kaspersky-labs.com; 127.0.0.1 u55.eset.com; 127.0.0.1
      download900.avast.com; 127.0.0.1 mmsk.cn; 127.0.0.1
      www.update.symantec.com; 127.0.0.1 bitdefender.secyber.net;
      127.0.0.1 u45.eset.com; 127.0.0.1 threatexpert.com

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Carlos Valero Llabata su martedì 24 agosto 2010
Descrizione aggiornata da Carlos Valero Llabata su martedì 24 agosto 2010

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti