Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/VBKrypt.devc.1
Scoperto:03/06/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
Dimensione del file:49.152 Byte
Somma di controllo MD5:CF2445B2C06AF8757BB5C598F85BB22E
Versione VDF:7.11.08.254 - venerdì 3 giugno 2011
Versione IVDF:7.11.08.254 - venerdì 3 giugno 2011

 Generale Metodo di propagazione:
   • Email
   • Visitando siti web infetti


Alias:
   •  Symantec: W32.SillyIRC
   •  TrendMicro: WORM_NUSUMP.C
   •  Microsoft: Worm:Win32/Nusump


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Modifica del registro
   • Utilizza un proprio motore SMTP per l'invio di email
   • Sottrae informazioni
   • Sfrutta la vulnerabilità del software

 File Si copia alla seguente posizione:
   • %TEMPDIR%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\wbem\Logs\wbemprox.log Contiene parametri utilizzati dal malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {254F4E25-A65F-2764-0003-070806050704}]
   • "StubPath"="%TEMPDIR%\%stringa di caratteri casuale%.exe"

 Processi terminati Lista dei processi che vengono terminati:
   • AvastSvc.exe
   • avgcsrvx.exe
   • avguard.exe
   • avgupd.exe
   • avp.exe
   • ccSvcHst.exe
   • ekrn.exe
   • mcupdate.exe
   • update.exe


 Backdoor Contatta il server:
Il seguente:
   • 200.58.119.**********:443

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Inviare email
    • Terminare il processo
    • Visitare un sito web

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Varie Stringa:
In più contiene le seguenti stringhe:
   • select * from moz_logins
   • \Mozilla\Firefox\

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 3 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.