Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.Ranbyus.G.19
Scoperto:21/06/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:135.776 Byte
Somma di controllo MD5:ED5E502DA77CE0A5F23DCD413DD78121
Versione VDF:7.11.10.61 - martedì 21 giugno 2011
Versione IVDF:7.11.10.61 - martedì 21 giugno 2011

 Generale Alias:
   •  TrendMicro: TROJ_RANBYUS.AK
   •  Sophos: Troj/Ranbyus-A
   •  Microsoft: TrojanSpy:Win32/Ranbyus.G


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\windebug32.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "Windows Debugger 32"="%SYSDIR%\windebug32.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\svchost.exe"="%SYSDIR%\svchost.exe:*:Enabled:Windows
      Debugger 32"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "SysDebug32"="DC 93 5A 27 BB 78 EF 79 A9 "

 Backdoor Contatta il server:
Il seguente:
   • http://**********nesturizm114.ru/tur1340/index.php?id=aa**********

Come risultato può inviare alcune informazioni.

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su venerdì 21 ottobre 2011
Descrizione aggiornata da Andrei Ivanes su venerdì 28 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.