Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Kido.IH.34
Scoperto:04/10/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:159.590 Byte
Somma di controllo MD5:90e02a26204ade7771acf7e8521bdf09
Versione IVDF:7.01.06.70 - sabato 3 ottobre 2009

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Rete locale


Alias:
   •  Mcafee: W32/Conficker.worm virus
   •  Sophos: W32/Confick-C
   •  Bitdefender: Win32.Worm.Downadup.Gen
   •  Panda: W32/Conficker.C.worm
   •  Eset: Win32/Conficker.AA


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\qepdjla.dll
   • %unit disco%\RECYCLER\qepdjla.dll



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\fddshoys]
   • "Description"="Manages IP security policy and starts the ISAKMP/Oakley (IKE) and the IP security driver."
   • "DisplayName"="Boot Windows"
   • "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"



Viene aggiunta la seguente chiave di registro:

[HKLM\SYSTEM\CurrentControlSet\Services\fddshoys\Parameters]
   • "ServiceDll"="%SYSDIR%\qepdjla.dll"

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilit:
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

    Nome del processo:
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 23 settembre 2010
Descrizione aggiornata da Petre Galan su giovedì 23 settembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.