Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Agent.184320
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:184.320 Byte
Somma di controllo MD5:49537c2c00a30d749fc39e4dd141f04a

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
   •  Kaspersky: Trojan.Win32.Scar.durf
   •  F-Secure: Trojan.Win32.Scar.durf
   •  Bitdefender: Trojan.Generic.5783178
   •  Eset: Win32/Dorkbot.A
     GData: Trojan.Generic.5783178
     DrWeb: Trojan.DownLoader2.29396


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file maligni
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %HOME%\Application Data\%stringa carattere%.exe
   • %unit disco%\RECYCLER\%stringa carattere%.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%




Prova ad eseguire il seguente file:

Nome del file:
   • %HOME%\Application Data\%stringa carattere%.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa carattere%"="%HOME%\Application Data\%stringa carattere%.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: haso.duk**********.com
Porta: 8888
Canale: #TeST-RouNd_03#
Nickname: n{US|XPa}%stringa di caratteri casuale%

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
 Le password inserite nei campi di input password

Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di tracciamento:
   • *officebanking.cl/*login.asp*
   • *.alertpay.*/*login.aspx
   • *.moneybookers.*/*login.pl
   • *runescape*/*weblogin*
   • *steampowered*/login*
   • *facebook.*/login.php*
   • *login.yahoo.*/*login*
   • *login.live.*/*post.srf*
   • *gmx.*/*FormLogin*
   • *fastmail.*/mail/*
   • *bigstring.*/*index.php*
   • *aol.*/*login.psp*
   • *google.*/*ServiceLoginAuth*
   • *paypal.*/webscr?cmd=_login-submit*

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

Si inserisce in tutti i processi.


 Varie Accede alle risorse Internet:
   • http://api.wip**********.com


Mutex:
Crea i seguenti Mutex:
   • OgarD-Mutex
   • aciCty21CAjoSS8o

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 2 giugno 2011
Descrizione aggiornata da Petre Galan su giovedì 2 giugno 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.