Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Ruskill.em.1
Scoperto:14/06/2011
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:129.627 Byte
Somma di controllo MD5:D06C50A03CAAC7B875397B68AE9DBC51
Versione VDF:7.11.09.168 - martedì 14 giugno 2011
Versione IVDF:7.11.09.168 - martedì 14 giugno 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.em
   •  Bitdefender: Trojan.VB.Inject.AB
   •  Microsoft: Worm:Win32/Dorkbot.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"



Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********-servfail.opendns.com
Porta: 1863
Password del server: ngrBot
Canale: #80t35ref
Nickname: {%random caracters%}%random caracters%
Password: 1963.g3rb3rs1t0.3691

Server: **********smynew.info
Porta: 1863
Password del server: ngrBot
Canale: #80t35ref
Nickname: {%random caracters%}%random caracters%
Password: 1963.g3rb3rs1t0.3691

Server: **********smynew1.info
Porta: 1863
Password del server: ngrBot
Canale: #80t35ref
Nickname: {%random caracters%}%random caracters%
Password: 1963.g3rb3rs1t0.3691

Server: **********smynew2.info
Porta: 1863
Password del server: ngrBot
Canale: #80t35ref
Nickname: {%random caracters%}%random caracters%
Password: 1963.g3rb3rs1t0.3691



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe


 Varie Accede alle risorse Internet:
   • http://api.wipmania.com/

Descrizione inserita da Andrei Ilie su martedì 9 agosto 2011
Descrizione aggiornata da Andrei Ilie su martedì 9 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.