Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/VB.Inject.PX
Scoperto:20/07/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:69.632 Byte
Somma di controllo MD5:9268ADEBF4F49D16DA0838145E8BA4D5
Versione VDF:7.11.12.21 - mercoledì 20 luglio 2011
Versione IVDF:7.11.12.21 - mercoledì 20 luglio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.SillyIRC
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Worm.Win32.AutoRun.cgfa


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %TEMPDIR%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%TEMPDIR%\%stringa di caratteri casuale%.exe"

–  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {36A5A0DB-297E-FDE2-0501-060104070800}]
   • "StubPath"="C:\DOCUME~1\SD_USER\LOCALS~1\Temp\%stringa di caratteri casuale%.exe"



Viene aggiunta la seguente chiave di registro:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000

 Backdoor Viene aperta la seguente porta:

– svchost.exe sulla porta UDP 1032


Contatta il server:
Il seguente:
   • 69.65.19.**********:443

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Inviare email

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su martedì 2 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.