Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Agent.69632
Scoperto:09/11/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:69.632 Byte
Somma di controllo MD5:F3AC620DEF76EC88C7637433ABF1D980
Versione VDF:6.36.01.09 - giovedì 9 novembre 2006
Versione IVDF:6.36.01.09 - giovedì 9 novembre 2006

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  TrendMicro: WORM_PALEVO.VI
   •  Sophos: W32/Autorun-BRX
   •  Microsoft: Worm:Win32/Dorkbot


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe



Viene creato il seguente file:

%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%cestino%\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********ka3ek.com
Porta: 3321



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su giovedì 13 ottobre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 14 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.