Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Ainslot.A.1042
Scoperto:13/06/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
Dimensione del file:227.328 Byte
Somma di controllo MD5:6F171DBAC99D8853115BD7505360FE79
Versione VDF:7.11.09.166 - lunedì 13 giugno 2011
Versione IVDF:7.11.09.166 - lunedì 13 giugno 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Infostealer
   •  Mcafee: Ainslot.b
   •  Kaspersky: Trojan.Win32.Jorik.Shakblades.xy
   •  TrendMicro: WORM_JORIK.IW
   •  Microsoft: Worm:Win32/Ainslot.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\Directory\dllhost.exe
   • %APPDATA%\dllhost.exe



Viene creato il seguente file:

– %APPDATA%\data.dat Contiene parametri utilizzati dal malware.

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dllhost"="%WINDIR%\Directory\dllhost.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "dllhost"="%WINDIR%\Directory\dllhost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "dllhost.exe"="%APPDATA%\dllhost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "dllhost.exe"="%APPDATA%\dllhost.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dllhost.exe"="%APPDATA%\dllhost.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {1BF4D6BD-B632-BAE4-28CC-0AEA5205A7BF}]
   • "StubPath"="%APPDATA%\dllhost.exe"

– [HKCU\Software\Microsoft\Active Setup\Installed Components\
   {1BF4D6BD-B632-BAE4-28CC-0AEA5205A7BF}]
   • "StubPath"="%APPDATA%\dllhost.exe"

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Accede alle risorse Internet:
   • charlatan.no-ip.biz

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su mercoledì 27 luglio 2011
Descrizione aggiornata da Andrei Ilie su giovedì 28 luglio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.