Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.Agent.fdq.2
Scoperto:09/12/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:184.880 Byte
Somma di controllo MD5:2eb859bd6f3c2805daafe13dded883dc
Versione IVDF:7.01.00.212 - martedì 9 dicembre 2008

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Bitdefender: Trojan.Generic.1619889
   •  Panda: W32/Autorun.IUB


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unità disco%\m.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\RCX%numero esadecimale%.tmp



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%TEMPDIR%\%valori esadecimali%.bat Viene eseguito ulteriormente dopo che è stato completamente creato.
%SYSDIR%\%valori esadecimali%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.Raz.21

%SYSDIR%\RCX%numero esadecimale%.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.Raz.14

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="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"

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %valori esadecimali%]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\%valori esadecimali%.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lck"
   • "Logoff"="lf"
   • "Logon"="l"
   • "Shutdown"="sd"
   • "StartScreenSaver"="sss"
   • "StartShell"="ss"
   • "Startup"="sup"
   • "StopScreenSaver"="stsss"
   • "Unlock"="u"

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://wl.remiusa.com/v306/**********
   • http://wl.genseck.com/v306/**********

Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

    Nome del processo:
   • winlogon.exe


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 11 novembre 2010
Descrizione aggiornata da Petre Galan su venerdì 12 novembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.