Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.180224.163
Scoperto:05/08/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:180.224 Byte
Somma di controllo MD5:CAD9C2BE27D0F926DD7E9AF7CE50358F
Versione VDF:7.10.04.103
Versione IVDF:7.10.10.80 - giovedì 5 agosto 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  TrendMicro: TROJ_DANTMIL.A
   •  Sophos: Troj/VBAgent-H
     Microsoft: Trojan:Win32/Dantmil.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\726t.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%APPDATA%\MouseDriver.bat
%APPDATA%\mdinstall.inf
%APPDATA%\yq5ys18ww.bat
%APPDATA%\i45zg1k.log

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "9gsit"="%APPDATA%\726t.exe"



Viene aggiunta la seguente chiave di registro:

[HKLM\SOFTWARE\tgs90gv74r]
   • "tgs90gv74rexepath"="%APPDATA%\726t.exe"
   • "tgs90gv74rpath"="%APPDATA%\"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT]
   Nuovo valore:
   • "EventMessageFile"="%SYSDIR%\ESENT.dll"
   • "CategoryMessageFile"="%SYSDIR%\ESENT.dll"
   • "CategoryCount"=dword:00000010
   • "TypesSupported"=dword:00000007

[HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT]
   Nuovo valore:
   • "EventMessageFile"="%SYSDIR%\ESENT.dll"
   • "CategoryMessageFile"="%SYSDIR%\ESENT.dll"
   • "CategoryCount"=dword:00000010
   • "TypesSupported"=dword:00000007

[HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT]
   Nuovo valore:
   • "EventMessageFile"="%SYSDIR%\ESENT.dll"
   • "CategoryMessageFile"="%SYSDIR%\ESENT.dll"
   • "CategoryCount"=dword:00000010
   • "TypesSupported"=dword:00000007

 Backdoor Contatta il server:
Il seguente:
   • **********leardiscover.com:888


 Varie Mutex:
Crea il seguente Mutex:
   • 726t.exe9gsit%

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.

Descrizione inserita da Andrei Ilie su mercoledì 7 settembre 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 7 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.