Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Drop.Streab.A
Scoperto:05/07/2011
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:139.264 Byte
Somma di controllo MD5:16F019DE3267A5A5B4D56407765921FB
Versione VDF:7.11.10.217 - martedì 5 luglio 2011
Versione IVDF:7.11.10.217 - martedì 5 luglio 2011

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Messenger


Alias:
   •  Symantec: W32.IRCBot.NG
   •  Kaspersky: Backdoor.Win32.Ruskill.yk
   •  TrendMicro: BKDR_IRCBOT.YL


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.




Prova a scaricare dei file:

– La posizione è la seguente:
   • **********.184.237.188/43j.exe
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • **********.184.237.220/dqj.exe
Al momento dell'analisi questo file non era più disponibile.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********.themarketbaby.com
Porta: 3800
Nickname: %stringa di caratteri casuale%

Server: **********.marketallone.com
Porta: 3800
Nickname: %stringa di caratteri casuale%

Server: **********.lighthousez11.com
Porta: 3800
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Iniziare procedura di diffusione

 Backdoor Il seguente:
   • **********pnipponp.r7m.us/cgi-bin/p.cgi


 Varie Accede alle risorse Internet:
   • api.wipmania.com

Descrizione inserita da Andrei Ilie su giovedì 22 settembre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 23 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.