Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Ruskill.adi
Scoperto:15/07/2011
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Versione VDF:7.11.11.159 - venerdì 15 luglio 2011
Versione IVDF:7.11.11.159 - venerdì 15 luglio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.zp
   •  TrendMicro: TROJ_SPNR.02GB11
     Microsoft: Worm:Win32/Dorkbot.I


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"



Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********grasshopperz11.com
Porta: 3800
Nickname: %stringa di caratteri casuale%

Server: **********lighthousez11.com
Porta: 3800
Nickname: %stringa di caratteri casuale%

Server: **********marketallone.com
Porta: 3800
Nickname: %stringa di caratteri casuale%



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Come il virus si inserisce nei processi  Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • csrss.exe
   • explorer.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • winlogon.exe


 Varie Accede alle risorse Internet:
   • http://api.wipmania.com/

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.

Descrizione inserita da Andrei Ilie su giovedì 20 ottobre 2011
Descrizione aggiornata da Andrei Ilie su lunedì 24 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.