Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/VB.Inject.GM.34
Scoperto:02/07/2011
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:167.936 Byte
Somma di controllo MD5:57D608B6363C5DF81956AB2980AA6B8D
Versione VDF:7.11.10.198 - sabato 2 luglio 2011
Versione IVDF:7.11.10.198 - sabato 2 luglio 2011

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
    Messenger


Alias:
   •  TrendMicro: TROJ_MANGER.GER
   •  Sophos: Mal/Mdrop-HP
     Microsoft: VirTool:Win32/VBInject.GM


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • C:\Documents and Settings\%nome utente corrente%\Application Data\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="C:\Documents and Settings\%nome utente corrente%\Application Data\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

Windows Live Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********.yakizzy.com
Porta: 7654
Nickname: %stringa di caratteri casuale%

Server: **********.oyoba.com
Porta: 7654
Nickname: %stringa di caratteri casuale%

Server: **********.divalium.com
Porta: 7654
Nickname: %stringa di caratteri casuale%



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS
     Iniziare procedura di diffusione

 Backdoor Viene aperta la seguente porta:

svchost.exe su una porta UDP casuale

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
 Le password inserite nei campi di input password

Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di tracciamento:
   • *1and1.com; *4shared.com; *alertpay.com; *aol.*; *bigstring.*;
      *depositfiles.*; *dotster.com; *dyndns*; *enom.com; *facebook.*;
      *fastmail.*; *fileserv.com; *filesonic.com; *freakshare.com; *gmx.*;
      *godaddy.com; *google.*; *hackforums.*; *hotfile.com; *letitbit.net*;
      *login.live.*; *login.yahoo.*; *mediafire.com; *megaupload.*;
      *members*.iknowthatgirl*; *members.brazzers.com*; *moneybookers.*;
      *moniker.com; *namecheap.com; *netflix.com; *netload.in; *no-ip*;
      *officebanking.cl; *oron.com; *paypal.*; *runescape*;
      *screenname.aol.*; *secure.logmein.*; *sendspace.com;
      *signin.ebay*SignIn; *sms4file.com; *speedyshare.com; *steampowered*;
      *thepiratebay.org; *torrentleech.org; *twitter.com; *uploaded.to;
      *uploading.com; *vip-file.com; *webnames.ru; *what.cd; *youporn.*

 Cattura:
     Informazioni di login

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe

L'accesso ai seguenti siti web effettivamente bloccato:
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 Varie Accede alle risorse Internet:
   • http://api.wipmania.com/

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su giovedì 29 settembre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 30 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.