Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Rimod.A.255
Scoperto:12/07/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:175.616 Byte
Somma di controllo MD5:3C244D2FA504E645C4C71139A6146425
Versione VDF:7.11.11.93 - martedì 12 luglio 2011
Versione IVDF:7.11.11.93 - martedì 12 luglio 2011

 Generale Metodo di propagazione:
    Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.kz
     Microsoft: Trojan:Win32/Rimod


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\J-93219-1923-12901\msnmsg32.exe

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Mobile Device Service"="%APPDATA%\J-93219-1923-12901\msnmsg32.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\J-93219-1923-12901\msnmsg32.exe"="%APPDATA%\J-93219-1923-12901\msnmsg32.exe:*:Enabled:Mobile
      Device Service"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 Yahoo Messenger


Messaggio
Il messaggio inviato sar tipo uno dei seguenti:

   • hauska kuva!!! %link%
     !! haha wow %link%
     Burada komik bak!! %link%
     ceea ce o imagine nebun wow haha %link%
     du ser fint her! woww %link%
     haha omg crazy %link%
     hahahah nice billede :) %link%
     hahahahahaha!!!woww %link%
     hahahahahahahahaahahahahhaha %link%
     kijken naar wow hah %link%
     pogledaj ove slike!! %link%
     poglej to fotografijo!!! %link%
     pozrite sa na tto fotografi wow %link%
     r en rolig bild %link%
     sei bella in questa foto!! %link%
     te ves hermosa aqus belle photo! heheh %link%
     ten pic jest zabawne! hah %link%
     wer hat dieses Bild? wow %link%
     you look so weird in this pic!!! %link%

 Varie  Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • albertoshistory.info; ale.pakibili.com; astro.ic.ac.uk;
      ate.lacoctelera.net; beta.neogen.ro; browseusers.myspace.com;
      crl.microsoft.com; deirdremccloskey.org; ds.phoenix-cc.net;
      epp.gunmablog.jp; erdbeerlounge.de; goodreads.com; heidegger.x-y.net;
      hrm.uh.edu; insidehighered.com; jb.asm.org; journalofaccountancy.com;
      journals.lww.com; mas.0730ip.com; mas.ahlamontada.com;
      mas.archivum.info; mas.josbank.com; mas.juegosbakugan.net;
      mas.mtime.com; mas.tguia.cl; mas.univie.ac.at; mcsp.lvengine.com;
      middleastpost.org; mix.price-erotske.in.rs; mix.thenaturistclub.com;
      mmm.bolbalatrust.org; old.longjuyt2tugas.com; old.youku.com;
      ols.systemofadown.com; ope.oaklandathletics.com; opl.munin.irf.se;
      pra.aps.org; pru.landmines.org; qun.51.com; refugee-action.org.uk;
      screenservice.com; scribbidyscrubs.com; shopstyle.com;
      southampton.ac.uk; stayontime.info; summer-uni-sw.eesp.ch;
      transnationale.org; tripadvisor.com; uks.linkedin.com; unclefed.com;
      versatek.com; websitetrafficspy.com; www.myspace.com;
      www.shearman.com; x.myspacecdn.com; xxx.jagdcom.de; xxx.stopklatka.pl

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su venerdì 30 settembre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 30 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.