Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Rimecud.A.20
Scoperto:10/06/2010
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:209.920 Byte
Somma di controllo MD5:7A3B050DAB93E56852FCBD98F82C03DF
Versione VDF:7.10.03.119
Versione IVDF:7.10.08.31 - giovedì 10 giugno 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  TrendMicro: WORM_PALEVO.SMQM
   •  Sophos: Mal/Palevo-B
   •  Microsoft: Trojan:Win32/Rimecud.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\cbzvl.exe



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\cbzvl.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • **********ena.ananikolic.su
   • **********ce.losmibracala.org
   • **********r.pickeklosarske.ru
   • **********ke.pornicarke.com

Come risultato viene fornita la capacità di controllare da remoto.

Capacità di controllo remoto:
    • Eseguire file
    • Visitare un sito web

 Come il virus si inserisce nei processi     Nome del processo:
   • svchost.exe


 Varie Mutex:
Crea il seguente Mutex:
   • sjBf+10

Descrizione inserita da Andrei Ilie su mercoledì 21 settembre 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 21 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.