Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Drop.TDss.akfb
Scoperto:22/04/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
Dimensione del file:58.888 Byte
Somma di controllo MD5:60184EE7316CFC9F734CF9713FD76361
Versione VDF:7.11.06.232 - venerdì 22 aprile 2011
Versione IVDF:7.11.06.232 - venerdì 22 aprile 2011

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica
   • Unitdi rete mappata


Alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Trojan-Dropper.Win32.TDSS.akfb
   •  TrendMicro: TROJ_KRYPTO.SMII
     Microsoft: Worm:Win32/Rorpian


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%TEMPDIR%\srv%numero esadecimale%.tmp Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Drop.TDss.akfb

%TEMPDIR%\srv%numero esadecimale%.ini Contiene parametri utilizzati dal malware.



Prova a scaricare un file:

La posizione la seguente:
   • http://web-soft2011pc.**********/soft/installer_m_161.exe
Viene salvato in locale sotto: %TEMPDIR%\%numero%.tmp Al momento dell'analisi questo file non era pi disponibile.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\ControlSet001\Services\srv%numero esadecimale%]
   • "Type"=dword:00000014
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "DisplayName"="srv%numero esadecimale%"
   • "ObjectName"="LocalSystem"



Viene aggiunta la seguente chiave di registro:

[HKLM\SYSTEM\ControlSet001\Services\srv%numero esadecimale%\
   parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\Documents and Settings\%nome utente corrente%\Local Settings\Temp\srv%numero esadecimale%.tmp"

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 3 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.