Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Agent.90112.BD
Scoperto:16/07/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:89.088 Byte
Somma di controllo MD5:7b939100f7585fd7e08be6236b03de24
Versione VDF:7.00.05.117
Versione IVDF:7.00.05.126 - mercoledì 16 luglio 2008

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.gin
   •  F-Secure: Trojan-Spy.Win32.SpyEyes.gin
   •  Bitdefender: Trojan.Generic.5572357
     GData: Trojan.Generic.5572357
     DrWeb: Win32.HLLW.Autoruner.49725


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %unit disco%\svrwsc.exe
   • %SYSDIR%\svrwsc.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %TEMPDIR%\Low%stringa casuale di quattro caratteri%.tmp.bat



Vengono creati i seguenti file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%TEMPDIR%\Low%stringa casuale di quattro caratteri%.tmp.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.



Prova ad eseguire il seguente file:

Nome del file:
   • %SYSDIR%\cmd.exe" /c "%TEMPDIR%\Low%stringa casuale di quattro caratteri%.tmp.bat

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."
   • "DisplayName"="Windows Security Center Service"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SYSDIR%\svrwsc.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000010



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\Software\Microsoft\DirectX\MSB]
   • "X1"=hex:00

[HKLM\Software\Microsoft\DirectX\MSA]
   • "X1"=hex:AE,2C,CC,01,16,21,60,C9
   • "X2"=hex:00

 Varie Accede alle risorse Internet:
   • http://cnewsus.ru/naol/news/**********


Mutex:
Crea i seguenti Mutex:
   • PROCESS_MI_4:c
   • PROCESS_MT_4:c

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 17 giugno 2011
Descrizione aggiornata da Petre Galan su venerdì 17 giugno 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.