Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:DR/Setty.O
Scoperto:22/12/2010
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:1.963.643 Byte
Somma di controllo MD5:459dedf5135d8d6eff5a08d62f328f5d
Versione VDF:7.10.07.72
Versione IVDF:7.11.00.144 - mercoledì 22 dicembre 2010

 Generale Alias:
   •  Mcafee: Artemis!459DEDF5135D
   •  Kaspersky: Trojan-Dropper.Win32.StartPage.dvd
   •  AVG: Generic3_c.BNCJ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

 File  Cancella i seguenti file:
   • %PROGRAM FILES%\prgenerate\is-LGRJ3.tmp
   • %PROGRAM FILES%\prgenerate\is-L45BV.tmp
   • %PROGRAM FILES%\prgenerate\is-Q79BP.tmp



Vengono creati i seguenti file:

%WINDIR%\vistaw7\Config.ini
%WINDIR%\vistaw7\rd.txt
%WINDIR%\Condu.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%PROGRAM FILES%\prgenerate\unins000.exe
%PROGRAM FILES%\prgenerate\Install.tmp
%WINDIR%\vistaw7\infofile.tmp
%WINDIR%\vistaw7\tuangou.ico
%PROGRAM FILES%\prgenerate\is-Q79BP.tmp
%WINDIR%\vistaw7\canyou.ucan
%PROGRAM FILES%\prgenerate\InstallDll.dll
%PROGRAM FILES%\prgenerate\unins000.dat
%WINDIR%\vistaw7\comrundu.ducc
%WINDIR%\vistaw7\taobao.ico
%PROGRAM FILES%\prgenerate\is-LGRJ3.tmp
%WINDIR%\vistaw7\Install.tmp
%PROGRAM FILES%\prgenerate\is-L45BV.tmp
%WINDIR%\vistaw7\nwinms.inn
%WINDIR%\vistaw7\honst.uic



Prova ad eseguire i seguenti file:

– Nome del file:
   • "%SYSDIR%\rundll32.exe" "%WINDIR%\vistaw7\comrundu.ducc" frmwind


– Nome del file:
   • "%SYSDIR%\rundll32.exe" "%WINDIR%\vistaw7\canyou.ucan" showme1


– Nome del file:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE" -nohome

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Classes\uic\Shell\Open\Command]
   • "@"=""Rundll32.exe" "%WINDIR%\vistaw7\nwinms.inn" readfile"

– [HKLM\SOFTWARE\Classes\.uic]
   • "@"="uic"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   {5E8C4B88-9431-4742-BC1F-8D70D7A89402}_is1]
   • "DisplayName"="3.1.0.2"
   • "Inno Setup: App Path"="%PROGRAM FILES%\prgenerate"
   • "Inno Setup: Icon Group"="prgenerate"
   • "Inno Setup: Setup Version"="5.2.3"
   • "Inno Setup: User"="Administrator"
   • "InstallDate"="20110509"
   • "InstallLocation"="%PROGRAM FILES%\prgenerate\"
   • "NoModify"=dword:0x00000001
   • "NoRepair"=dword:0x00000001
   • "QuietUninstallString"=""%PROGRAM FILES%\prgenerate\unins000.exe" /SILENT"
   • "UninstallString"=""%PROGRAM FILES%\prgenerate\unins000.exe""

– [HKLM\SOFTWARE\Classes\uic\Shell\Open]
   • "@"=""



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "CompatibilityFlags"=dword:0x00000000
   • "FullScreen"="no"
   • "Window_Placement"=hex:2C,00,00,00,00,00,00,00,01,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,8E,00,00,00,B1,00,00,00,AE,03,00,00,09,03,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones]
   Nuovo valore:
   • "SecuritySafe"=dword:0x00000001

– [HKLM\SOFTWARE\Classes\TypeLib\
   {1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuovo valore:
   • "@"="oleacc.dll"

 Varie Accede alle risorse Internet:
   • http://www.34com.com/ppsr/Downsoft/**********
   • http://www.07783.com/ppsr/Downsoft/**********
   • http://www.34com.com:8080/**********?mac=%stringa carattere%&id=%numero%
   • http://www.szc**********.com/
   • http://www.456t.com/**********

Descrizione inserita da Petre Galan su lunedì 9 maggio 2011
Descrizione aggiornata da Petre Galan su giovedì 12 maggio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.