Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Yakes.ajw
Scoperto:29/06/2011
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:50.176 Byte
Somma di controllo MD5:84912A4480E54ACC70D33084BA9C3A99
Versione VDF:7.11.10.166 - mercoledì 29 giugno 2011
Versione IVDF:7.11.10.166 - mercoledì 29 giugno 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Sophos: Mal/EncPk-AAG
   •  Microsoft: Worm:Win32/Autorun.ABO


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\svrwsc.exe



Viene creato il seguente file:

%TEMPDIR%\Low%valori esadecimali%.tmp.bat Questo file automatico è utilizzato per cancellare un file.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""

 Backdoor Contatta il server:
Il seguente:
   • etrademone.**********/point/forum/index.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su giovedì 22 settembre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 30 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.