Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.SpyEyes.eic
Scoperto:10/01/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:294.912 Byte
Somma di controllo MD5:a17ee10abdaf0c5c34abb551dab340b5
Versione VDF:7.10.07.173
Versione IVDF:7.11.01.60 - lunedì 10 gennaio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.eic
   •  F-Secure: Trojan-Spy.Win32.SpyEyes.eic
   •  Microsoft: Win32/EyeStye.H
   •  Eset: Win32/Spy.SpyEye.CA
   •  DrWeb: BackDoor.Spy.706


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %unità disco%\portwexexe\portwexexe.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unità disco%\portwexexe\config.bin

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
   • "portwexexe.exe"="%unità disco%\portwexexe\portwexexe.exe"



Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\PhishingFilter
   • "EnabledV8"=dword:00000000
   • "ShownServiceDownBalloon"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\DBControl


Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   Valore precedente:
   • "EnableHttp1_1"=%impostazioni definite dell'utente%
   • "ProxyHttp1.1"=%impostazioni definite dell'utente%
   • "WarnOnPost"=%impostazioni definite dell'utente%
   • "WarnOnPostRedirect"=%impostazioni definite dell'utente%
   • "WarnOnIntranet"=%impostazioni definite dell'utente%
   • "GlobalUserOffline"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:00000000
   • "WarnOnIntranet"=dword:00000000
   • "GlobalUserOffline"=dword:00000000

 Backdoor Contatta il server:
Il seguente:
   • http://soundpong.com/ahjsda65sda/**********guid=%stringa carattere%&ver=%numero%&stat=%stringa carattere%&ie=6.0.2900.2180&os=%numero%&ut=%stringa carattere%&plg=%stringa carattere%&ccrc=%numero%&md5=%stringa carattere%



Invia informazioni riguardanti:
    • Nome del computer
    • Utente corrente
    • Stato corrente del malware
    • Nome Utente
    • Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.microsoft.com

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX


Crittografia:
Crittografato: il codice del virus all'interno del file è crittografato.

Descrizione inserita da Ana Maria Niculescu su venerdì 25 febbraio 2011
Descrizione aggiornata da Ana Maria Niculescu su giovedì 3 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.