Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Rimecud.A.1859
Scoperto:06/12/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:90.112 Byte
Somma di controllo MD5:5d1ac261c4312106ce27fede4af939de
Versione VDF:7.10.06.204
Versione IVDF:7.10.14.192 - lunedì 6 dicembre 2010

 Generale Alias:
   •  Kaspersky: Trojan.Win32.Pincav.anjh
   •  Sophos: Mal/Palevo-A
   •  Bitdefender: Trojan.Generic.KDV.81884
   •  Panda: W32/P2Pworm.PK
   •  GData: Trojan.Generic.KDV.81884


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\ltzqai.exe



Vengono creati i seguenti file:

%cestino%\%CLSID%\Desktop.ini
%cestino%\%CLSID%\ju7bd.exe
%cestino%\%CLSID%\psyjo3.exe
%cestino%\%CLSID%\games.exe
%cestino%\%CLSID%\system.exe
%cestino%\%CLSID%\jwjqa.exe
%cestino%\%CLSID%\lsvb.exe
%cestino%\%CLSID%\jwkd.exe
%cestino%\%CLSID%\dfe.exe
%cestino%\%CLSID%\lsq.exe
%cestino%\%CLSID%\jikd.exe



Prova a scaricare dei file:

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\128840.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\83169.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\755.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\207124.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\9661586.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\6890.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\9726578.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\36021.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\546679.exe

– La posizione è la seguente:
   • http://two.natnatraoi.com/**********
Viene salvato in locale sotto: %TEMPDIR%\021.exe



Prova ad eseguire i seguenti file:

– Nome del file:
   • %TEMPDIR%\36021.exe


– Nome del file:
   • %TEMPDIR%\6890.exe


– Nome del file:
   • %TEMPDIR%\128840.exe


– Nome del file:
   • %TEMPDIR%\755.exe


– Nome del file:
   • %TEMPDIR%\021.exe


– Nome del file:
   • %TEMPDIR%\546679.exe


– Nome del file:
   • %TEMPDIR%\207124.exe


– Nome del file:
   • %TEMPDIR%\9726578.exe


– Nome del file:
   • %TEMPDIR%\9661586.exe


– Nome del file:
   • %TEMPDIR%\83169.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\Application Data\ltzqai.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fgfk"="%cestino%\%CLSID%\lsq.exe"
   • "Fnfx"="%cestino%\%CLSID%\dfe.exe"
   • "Fvbk"="%cestino%\%CLSID%\lsvb.exe"
   • "Teswf"="%cestino%\%CLSID%\system.exe"
   • "games"="%cestino%\%CLSID%\games.exe"
   • "jaqq"="%cestino%\%CLSID%\jwkd.exe"
   • "jkqq"="%cestino%\%CLSID%\jikd.exe"
   • "ju7bd"="%cestino%\%CLSID%\ju7bd.exe"
   • "psysjo3"="%cestino%\%CLSID%\psyjo3.exe"
   • "sdjwe"="%cestino%\%CLSID%\jwjqa.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%cestino%\%CLSID%\dfe.exe,%cestino%\%CLSID%\jwjqa.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-1457\system.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-1451\games.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe,%HOME%\Application Data\ltzqai.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe,explorer.exe,%cestino%\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • play.myg**********.com:9955 (UDP)
   • tf130.tef**********.com:8800 (TCP)
   • tf98.tef**********.com:8800 (TCP)
   • mix.tef**********.com:8800 (TCP)
   • tf122.tef**********.com:8800 (TCP)
   • tf50.tef**********.com:8800 (TCP)
   • mails.joo**********.com:8800 (TCP)
   • peas.com**********.org:8800 (TCP)
   • tf18.tef**********.com:8800 (TCP)
   • 209.90.13**********.220:8800 (TCP)
   • 66.7.22**********.28:8800 (TCP)


 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Accede alle risorse Internet:
   • http://b.suhi4hr.net/**********


Mutex:
Crea i seguenti Mutex:
   • fwghw
   • psyjo
   • games
   • f7bd
   • mdge
   • sewwwefwef
   • omdgv
   • dwcfewf
   • nbev+32
   • fewhx
   • fedfw

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 20 aprile 2011
Descrizione aggiornata da Petre Galan su mercoledì 20 aprile 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.