Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Kolab.xaq.1
Scoperto:29/03/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:65.544 Byte
Somma di controllo MD5:bf35c5e7fca040e42f8ad5bd4eaabd78
Versione VDF:7.11.05.106 - martedì 29 marzo 2011
Versione IVDF:7.11.05.106 - martedì 29 marzo 2011

 Generale Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cewu
   •  F-Secure: Worm.Win32.AutoRun.cewu
   •  Bitdefender: Trojan.Generic.KD.170515
     GData: Trojan.Generic.KD.170515
     DrWeb: Win32.HLLW.Podol.1


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %TEMPDIR%\srv%stringa di caratteri casuale%.tmp

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\
   srv%stringa di caratteri casuale%]
   • "DisplayName"="srv%stringa di caratteri casuale%"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\CurrentControlSet\Services\
   srv%stringa di caratteri casuale%\parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\%TEMPDIR%\srv%stringa di caratteri casuale%.tmp"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   srv%stringa di caratteri casuale%]
   • "@"="service"



Viene cambiata la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Nuovo valore:
   • "netsvcs"=hex:36,74,6F,34,00,41,70,70,4D,67,6D,74,00,41,75,64,69,6F,53,72,76,00,42,72,6F,77,73,65,72,00,43,72,79,70,74,53,76,63,00,44,4D,53,65,72,76,65,72,00,44,48,43,50,00,45,76,65,6E,74,53,79,73,74,65,6D,00,46,61,73,74,55,73,65,72,53,77,69,74,63,68,69,6E,67,43,6F,6D,70,61,74,69,62,69,6C,69,74,79,00,48,69,64,53,65,72,76,00,49,61,73,00,49,70,72,69,70,00,49,72,6D,6F,6E,00,4C,61,6E,6D,61,6E,53,65,72,76,65,72,00,4C,61,6E,6D,61,6E,57,6F,72,6B,73,74,61,74,69,6F,6E,00,4E,65,74,6D,61,6E,00,4E,6C,61,00,4E,57,43,57,6F,72,6B,73,74,61,74,69,6F,6E,00,4E,77,73,61,70,61,67,65,6E,74,00,52,61,73,61,75,74,6F,00,52,61,73,6D,61,6E,00,52,65,6D,6F,74,65,61,63,63,65,73,73,00,53,63,68,65,64,75,6C,65,00,53,65,63,6C,6F,67,6F,6E,00,53,45,4E,53,00,53,68,61,72,65,64,61,63,63,65,73,73,00,53,52,53,65,72,76,69,63,65,00,54,61,70,69,73,72,76,00,54,68,65,6D,65,73,00,54,72,6B,57,6B,73,00,57,33,32,54,69,6D,65,00,57,5A,43,53,56,43,00,57,6D,69,00,57,6D,64,6D,50,6D,53,70,00,77,69,6E,6D,67,6D,74,00,78,6D,6C,70,72,6F,76,00,6E,61,70,61,67,65,6E,74,00,68,6B,6D,73,76,63,00,42,49,54,53,00,77,75,61,75,73,65,72,76,00,53,68,65,6C,6C,48,57,44,65,74,65,63,74,69,6F,6E,00,00

 Varie Accede alle risorse Internet:
   • http://94.75.193.21/service/**********?affid=%numero%
   • http://82.192.88.10//**********
   • http://82.192.88.10//**********
   • http://94.75.193.21/service/scripts/files/**********

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 27 giugno 2011
Descrizione aggiornata da Petre Galan su lunedì 27 giugno 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.