Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.110592.183
Scoperto:01/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:110.592 Byte
Somma di controllo MD5:f5fbace6277850112bfe9f7c10e47676
Versione IVDF:7.10.08.241 - giovedì 1 luglio 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Bitdefender: Trojan.VB.Agent.GN
   •  Panda: W32/Autorun.KAE
   •  Eset: Win32/AutoRun.VB.RS


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-002C-0409-0000-0000000FF1CE}-C\Proof.en\MSWinUpdate.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE%data corrente%.exe
   • %unità disco%\SpoolBin.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %unità disco%\Sm9ssE2039.dat



Vengono creati i seguenti file:

– %HOME%\Start Menu\Programs\Startup\Windows update.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

– C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\Default\Misc\Utilities\Settings\%data corrente%.ini
– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Windows update.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%unità disco%\ebd0d60b76dde7ef6728686c-6c4a2f-c7de.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%unità disco%\Sm9ssE2039.dat



Prova ad eseguire i seguenti file:

– Nome del file:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE11161060454PM.exe


– Nome del file:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe


– Nome del file:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Subsystem Server 7.20"="C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe"
   • "Session Manager Subsystem Server 3.91"="C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe"



Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "ShowSuperHidden"="00000000"

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 16 novembre 2010
Descrizione aggiornata da Petre Galan su martedì 16 novembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.