Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/FakeSysdef.A.863
Scoperto:24/05/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:334.848 Byte
Somma di controllo MD5:2363D1D5B33994F17131646D929B0E50
Versione VDF:7.11.08.126 - martedì 24 maggio 2011
Versione IVDF:7.11.08.126 - martedì 24 maggio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  TrendMicro: TROJ_FAKEAV.SM29
   •  Sophos: Mal/FakeAV-EA
   •  Microsoft: Trojan:Win32/FakeSysdef


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Falsley segnala infezioni malware o problemi del sistema e offre all'utente le soluzioni, purché acquisti l'applicazione.
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Funzione “pricetrap” - l’utente è ingannevolmente indotto a fare una sottoscrizione costosa


Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:





 File Si copia alla seguente posizione:
   • %ALLUSERSPROFILE%\Application Data\%stringa di caratteri casuale%.exe



Rinomina i seguenti file:

    •  %ALLUSERSPROFILE%\Start Menu\%tutte le sottodirectory% in %TEMPDIR%\smtmp\1\*
    •  %APPDATA%\Microsoft\Internet Explorer\Quick Launch\* in %TEMPDIR%\smtmp\2\*



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

– %ALLUSERSPROFILE%\Application Data\%numero%.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/FakeSysdef.A.1023

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%ALLUSERSPROFILE%\Application Data\%stringa di caratteri casuale%.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"=dword:0000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software]
   • "75fa38b7-8b94-4995-ad32-52e938867954"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"="/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"

 Varie Accede alle risorse Internet:
   • **********p://findconsonant.org/pica1/516-direct
   • **********p://searchafternoon.org/404.php?type=stats&affid=516&subid=02&awok
   • **********p://searchbottle.org/pica1/516-direct


Mutex:
Crea il seguente Mutex:
   • 86e8a495-357c-437c-b6e9-13e757bfabab

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su giovedì 25 agosto 2011
Descrizione aggiornata da Andrei Ilie su venerdì 26 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.