Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Rorpian.A.1
Scoperto:28/03/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:55.304 Byte
Somma di controllo MD5:1faaa1016cf9b2454dc9bb45c90a6e68
Versione VDF:7.11.05.88 - lunedì 28 marzo 2011
Versione IVDF:7.11.05.88 - lunedì 28 marzo 2011

 Generale Alias:
   •  Bitdefender: Trojan.Generic.5713045
   •  Eset: Win32/AutoRun.Agent.ABH
   •  GData: Trojan.Generic.5713045


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %TEMPDIR%\srv%stringa di caratteri casuale%.tmp

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   srv%stringa di caratteri casuale%]
   • "DisplayName"="srv%stringa di caratteri casuale%"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   srv%stringa di caratteri casuale%\parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\%TEMPDIR%\srv%stringa di caratteri casuale%.tmp"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   srv%stringa di caratteri casuale%]
   • "@"="service"



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuovo valore:
   • "netsvcs"=hex:36,74,6F,34,00,41,70,70,4D,67,6D,74,00,41,75,64,69,6F,53,72,76,00,42,72,6F,77,73,65,72,00,43,72,79,70,74,53,76,63,00,44,4D,53,65,72,76,65,72,00,44,48,43,50,00,45,76,65,6E,74,53,79,73,74,65,6D,00,46,61,73,74,55,73,65,72,53,77,69,74,63,68,69,6E,67,43,6F,6D,70,61,74,69,62,69,6C,69,74,79,00,48,69,64,53,65,72,76,00,49,61,73,00,49,70,72,69,70,00,49,72,6D,6F,6E,00,4C,61,6E,6D,61,6E,53,65,72,76,65,72,00,4C,61,6E,6D,61,6E,57,6F,72,6B,73,74,61,74,69,6F,6E,00,4E,65,74,6D,61,6E,00,4E,6C,61,00,4E,57,43,57,6F,72,6B,73,74,61,74,69,6F,6E,00,4E,77,73,61,70,61,67,65,6E,74,00,52,61,73,61,75,74,6F,00,52,61,73,6D,61,6E,00,52,65,6D,6F,74,65,61,63,63,65,73,73,00,53,63,68,65,64,75,6C,65,00,53,65,63,6C,6F,67,6F,6E,00,53,45,4E,53,00,53,68,61,72,65,64,61,63,63,65,73,73,00,53,52,53,65,72,76,69,63,65,00,54,61,70,69,73,72,76,00,54,68,65,6D,65,73,00,54,72,6B,57,6B,73,00,57,33,32,54,69,6D,65,00,57,5A,43,53,56,43,00,57,6D,69,00,57,6D,64,6D,50,6D,53,70,00,77,69,6E,6D,67,6D,74,00,78,6D,6C,70,72,6F,76,00,6E,61,70,61,67,65,6E,74,00,68,6B,6D,73,76,63,00,42,49,54,53,00,77,75,61,75,73,65,72,76,00,53,68,65,6C,6C,48,57,44,65,74,65,63,74,69,6F,6E,00,00

 Varie Accede alle risorse Internet:
   • http://188.138.48.178//**********
   • http://89.149.244.24/daemon/**********?action_id=%stringa carattere%&code=%numero%
   • http://188.138.48.178//**********
   • http://188.138.48.178/service/scripts/files/**********
   • http://188.138.48.173/soft/**********?buildid=%numero%

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 15 giugno 2011
Descrizione aggiornata da Petre Galan su giovedì 16 giugno 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.