Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Cycbot.B.2321
Scoperto:11/04/2011
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:170.496 Byte
Somma di controllo MD5:c58cddc6c919035b21d08e75e6fad633
Versione VDF:7.11.06.22 - lunedì 11 aprile 2011
Versione IVDF:7.11.06.22 - lunedì 11 aprile 2011

 Generale Alias:
   •  Kaspersky: Trojan.Win32.Jorik.Gbot.aev
   •  Bitdefender: Trojan.Downloader.JOID
   •  GData: Trojan.Downloader.JOID
   •  DrWeb: BackDoor.Gbot.30


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\Microsoft\conhost.exe



Sovrascrive un file.
– %HOME%\Application Data\Mozilla\Firefox\Profiles\zaqxlwxs.default\prefs.js



Viene creato il seguente file:

– %HOME%\Application Data\613A.043

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%HOME%\Application Data\Microsoft\conhost.exe"

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.google.com
Accede alle risorse Internet:
   • http://lostpropaganda.net/blog/pics/**********?v44=%numero%&tq=%stringa carattere%
   • http://dnssystemsonline.com/blog/images/**********?v36=%numero%&tq=%stringa carattere%
   • http://zonedg.com/**********?tq=%stringa carattere%
   • http://moresmsonline.com/blog/images/**********?v86=%numero%&tq=%stringa carattere%


Mutex:
Crea i seguenti Mutex:
   • {7791C364-DE4E-4000-9E92-9CCAFDDD90DC}
   • {A5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B37C48AF-B05C-4520-8B38-2FE181D5DC78}
   • {61B98B86-5F44-42b3-BCA1-33904B067B81}

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 4 luglio 2011
Descrizione aggiornata da Petre Galan su lunedì 4 luglio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.