Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Pincav.bjcw.1
Scoperto:20/07/2011
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:131.072 Byte
Somma di controllo MD5:FB8C61760B9AA4DEE0453158F073F48F
Versione VDF:7.11.11.235 - mercoledì 20 luglio 2011
Versione IVDF:7.11.11.235 - mercoledì 20 luglio 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Pincav.bjcw
   •  TrendMicro: WORM_DORKBOT.WI
   •  Sophos: W32/Autorun-BRX


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********e.yourwebfind.com
Porta: 5101
Nickname: %stringa di caratteri casuale%

Server: **********e.mdmads.com
Porta: 5101
Nickname: %stringa di caratteri casuale%

Server: **********e.beecitysearch.com
Porta: 5101
Nickname: %stringa di caratteri casuale%

Server: **********e.babypin.net
Porta: 5101
Nickname: %stringa di caratteri casuale%

Server: **********hox.com
Porta: 5101
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Iniziare procedura di diffusione

 Backdoor Contatta il server:
Il seguente:
   • jebena.ana**********.su:6600 (UDP)


 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Varie Mutex:
Crea il seguente Mutex:
   • (EQ_+10

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su mercoledì 5 ottobre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 7 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.