Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.Spyeye.AG
Scoperto:24/05/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:155.648 Byte
Somma di controllo MD5:44975E5755D974A3318E1C6C95D6F2AE
Versione VDF:7.11.08.122 - martedì 24 maggio 2011
Versione IVDF:7.11.08.122 - martedì 24 maggio 2011

 Generale Metodo di propagazione:
    Messenger


Alias:
   •  TrendMicro: TROJ_CRYPTIK.SMG
   •  Sophos: Troj/SpyEye-AV
     Microsoft: Trojan:Win32/Meredrop


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • C:\newdnswatch\newdnswatch.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

C:\newdnswatch\config.bin

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "newdnswatch.exe"="C:\newdnswatch\newdnswatch.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "ShownServiceDownBalloon"=dword:0x00000000

[HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000



Vengono cambiate le seguenti chiavi di registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Nuovo valore:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Nuovo valore:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Nuovo valore:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   Nuovo valore:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   Nuovo valore:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   Nuovo valore:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   Nuovo valore:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Nuovo valore:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Nuovo valore:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   Nuovo valore:
   • "EnabledV8"=dword:0x00000000

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

Windows Live Messenger

 Backdoor Contatta il server:
Tutti i seguenti:
   • **********.88.209.228:443
   • **********ted-by.antaro-hosting.ru:443
   • **********.www.ms.akadns.net:80
   • **********7pi7zop.com:80

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
     URL visitati
     Informazioni sul sistema operativo Windows


Capacit di controllo remoto:
     Inizia keylog
     Visitare un sito web

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
 Le password registrate utilizzate dalla funzione di completamento automatico

Le password dai seguenti programmi:
   • Mozilla Firefox
   • Internet Explorer

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


Si inserisce in tutti i processi.


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.microsoft.com


Mutex:
Crea il seguente Mutex:
   • gF4gGd4GdH5GdHg

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su mercoledì 7 settembre 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 7 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.