Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.53248.681
Scoperto:11/11/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:53.248 Byte
Somma di controllo MD5:1C886EABF2D5A89329CA4529DFA6BB21
Versione VDF:7.10.06.78
Versione IVDF:7.10.13.226 - giovedì 11 novembre 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: W32/IRCbot.worm
   •  Kaspersky: Trojan.Win32.Jorik.Lolbot.ip
   •  TrendMicro: WORM_SPYBOT.CEA
   •  F-Secure: Trojan.VB.Agent.HR
   •  Bitdefender: Trojan.VB.Agent.HR


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %APPDATA%\winlogon.exe
   • %unità disco%\driver\info\explorer.exe



Vengono creati i seguenti file:

%unità disco%\driver\info\Desktop.ini
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

 IRC – In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Host L'host del file viene modificato come spiegato:

– L'accesso ai seguenti domini è effettivamente bloccato:
   • avp.com
   • ca.com
   • dispatch.mcafee.com
   • etrust
   • jotti
   • kaspersky.com
   • liveupdate.symantecliveupdate.
   • mcafee.com
   • my-etrust.com
   • nai.com
   • nod32.com
   • norton
   • rads.mcafee.com
   • secure.nai.com
   • sophos.com
   • symantecliveupdate.com
   • trendmicro.com
   • updates.symantec.com
   • viruslist.com
   • te [virustotal.com
   • virusscan.jotti.org
   • us.mcafee.com
   • threatexpert
   • symantec.com
   • securityresponse.
   • pandasoftware
   • networkassociates
   • mast.mcafee.com
   • liveupdate.symantec.com
   • kaspersky-labs.com
   • grisoft
   • f-secure
   • download.mcafee.com
   • bitdefender.com
   • nai.


 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • AntiVirus; ashWebSv; avgnt; avp.exe; bitdef; kaspersky; mcafee;
      mcshield; NOD32; symantec; viruslist; trendmicro; guard.exe; avgw.exe;
      avguard; ashDisp


 Varie Anti debugging
Verifica se sono in esecuzione dei programmi che contengono una delle seguenti stringhe:
   • sandbox
   • nepenthes
   • wireshark
   • vmware


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su venerdì 18 marzo 2011
Descrizione aggiornata da Andrei Ilie su martedì 22 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.