Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Meredrop.A.15466
Scoperto:04/10/2010
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:86.016 Byte
Somma di controllo MD5:c4d499bc672aff08023aadee3ae5d6be
Versione VDF:7.10.05.137
Versione IVDF:7.10.12.115 - lunedì 4 ottobre 2010

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Email
    Messenger


Alias:
   •  Mcafee: W32/Autorun.worm.aaj
   •  Kaspersky: Trojan.Win32.VBKrypt.ijc
   •  Bitdefender: Trojan.Generic.KDV.46735
     GData: Trojan.Generic.KDV.46735


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Modifica del registro
   • Utilizza un proprio motore SMTP per l'invio di email

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\Dsuo5wuo.exe
   • %unit disco%\Dsuo5wuo.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%TEMPDIR%\Dsuo5wuo.exe"



Viene aggiunta la seguente chiave di registro:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {36A5A0DB-297E-FDE2-0501-060104070800}]
   • "StubPath"="%TEMPDIR%\Dsuo5wuo.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Corpo dell'email:
– Contiene codice HTML.


File allegato:

L'allegato una copia del malware stesso.

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 Windows Messenger

L'URL si riferisce cos a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://updates-call.com/**********?id=%stringa carattere%&co=%stringa carattere%&us=%stringa carattere%&os=%stringa carattere%&vr=%stringa carattere%&av&dt
   • http://124.217.253.18/**********?id=%stringa carattere%&co=%stringa carattere%&us=%stringa carattere%&os=%stringa carattere%&vr=%stringa carattere%&av&dt



Invia informazioni riguardanti:
    • Nome del computer
     Uptime del malware
     Nome Utente
     Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Mutex:
Crea il seguente Mutex:
   • X00X

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 16 marzo 2011
Descrizione aggiornata da Petre Galan su mercoledì 16 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.