Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.SpyEyes.eic
Scoperto:10/01/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:294.912 Byte
Somma di controllo MD5:a17ee10abdaf0c5c34abb551dab340b5
Versione VDF:7.10.07.173
Versione IVDF:7.11.01.60 - lunedì 10 gennaio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.eic
   •  F-Secure: Trojan-Spy.Win32.SpyEyes.eic
     Microsoft: Win32/EyeStye.H
   •  Eset: Win32/Spy.SpyEye.CA
     DrWeb: BackDoor.Spy.706


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %unit disco%\portwexexe\portwexexe.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unit disco%\portwexexe\config.bin

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
   • "portwexexe.exe"="%unit disco%\portwexexe\portwexexe.exe"



Vengono aggiunte le seguenti chiavi di registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Internet Explorer\PhishingFilter
   • "EnabledV8"=dword:00000000
   • "ShownServiceDownBalloon"=dword:00000000

[HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:00000000

HKCU\Software\Microsoft\Internet Explorer\DBControl


Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   Valore precedente:
   • "EnableHttp1_1"=%impostazioni definite dell'utente%
   • "ProxyHttp1.1"=%impostazioni definite dell'utente%
   • "WarnOnPost"=%impostazioni definite dell'utente%
   • "WarnOnPostRedirect"=%impostazioni definite dell'utente%
   • "WarnOnIntranet"=%impostazioni definite dell'utente%
   • "GlobalUserOffline"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:00000000
   • "WarnOnIntranet"=dword:00000000
   • "GlobalUserOffline"=dword:00000000

 Backdoor Contatta il server:
Il seguente:
   • http://soundpong.com/ahjsda65sda/**********guid=%stringa carattere%&ver=%numero%&stat=%stringa carattere%&ie=6.0.2900.2180&os=%numero%&ut=%stringa carattere%&plg=%stringa carattere%&ccrc=%numero%&md5=%stringa carattere%



Invia informazioni riguardanti:
    • Nome del computer
     Utente corrente
     Stato corrente del malware
     Nome Utente
     Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.microsoft.com

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX


Crittografia:
Crittografato: il codice del virus all'interno del file crittografato.

Descrizione inserita da Ana Maria Niculescu su venerdì 25 febbraio 2011
Descrizione aggiornata da Ana Maria Niculescu su giovedì 3 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.