Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Meredrop.A.15466
Scoperto:04/10/2010
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:86.016 Byte
Somma di controllo MD5:c4d499bc672aff08023aadee3ae5d6be
Versione VDF:7.10.05.137
Versione IVDF:7.10.12.115 - lunedì 4 ottobre 2010

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Email
   • Messenger


Alias:
   •  Mcafee: W32/Autorun.worm.aaj
   •  Kaspersky: Trojan.Win32.VBKrypt.ijc
   •  Bitdefender: Trojan.Generic.KDV.46735
   •  GData: Trojan.Generic.KDV.46735


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Utilizza un proprio motore SMTP per l'invio di email

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\Dsuo5wuo.exe
   • %unità disco%\Dsuo5wuo.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%TEMPDIR%\Dsuo5wuo.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {36A5A0DB-297E-FDE2-0501-060104070800}]
   • "StubPath"="%TEMPDIR%\Dsuo5wuo.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Corpo dell'email:
– Contiene codice HTML.


File allegato:

L'allegato è una copia del malware stesso.

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Messenger

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://updates-call.com/**********?id=%stringa carattere%&co=%stringa carattere%&us=%stringa carattere%&os=%stringa carattere%&vr=%stringa carattere%&av&dt
   • http://124.217.253.18/**********?id=%stringa carattere%&co=%stringa carattere%&us=%stringa carattere%&os=%stringa carattere%&vr=%stringa carattere%&av&dt



Invia informazioni riguardanti:
    • Nome del computer
    • Uptime del malware
    • Nome Utente
    • Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Mutex:
Crea il seguente Mutex:
   • X00X

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 16 marzo 2011
Descrizione aggiornata da Petre Galan su mercoledì 16 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.