Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Killav.NJ
Scoperto:19/01/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:174.592 Byte
Somma di controllo MD5:4beca2b8788ef210bfe35bd70f6ab4ac
Versione VDF:7.01.01.131
Versione IVDF:7.01.01.140 - lunedì 19 gennaio 2009

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Kaspersky: Trojan-GameThief.Win32.Magania.dxii
   •  TrendMicro: TROJ_GAMETHI.GQX
   •  Sophos: Troj/PWS-BOS
   •  Avast: Win32:OnLineGames-FVA


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\apiqq.exe
   • %unità disco%\io3yalc.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.baidutvc.com/1mg/**********
Viene salvato in locale sotto: %SYSDIR%\arking.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://www.baidutvc.com/1mg/**********
Viene salvato in locale sotto: %SYSDIR%\arking0.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://www.baiduop0.com/1mg/**********
Viene salvato in locale sotto: %TEMPDIR%\apiqq0.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "api32"="%TEMPDIR%\apiqq.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "ShowSuperHidden"=dword:00000000

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Andrei Ilie su giovedì 21 aprile 2011
Descrizione aggiornata da Andrei Ilie su martedì 24 maggio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.