Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Kazy.15063.2
Scoperto:10/03/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:168.448 Byte
Somma di controllo MD5:CAA13B954C5EE65AB5F6567F7AADE746
Versione VDF:7.10.09.149
Versione IVDF:7.11.04.163 - giovedì 10 marzo 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Gbot.aeg
   •  TrendMicro: BKDR_CYCBOT.SMX
   •  Microsoft: Backdoor:Win32/Cycbot.B


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\Microsoft\conhost.exe



Viene creato il seguente file:

– %APPDATA%\Microsoft\stor.cfg

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%APPDATA%\Microsoft\conhost.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:50370"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

 Backdoor Viene aperta la seguente porta:

%file eseguiti% sulla porta TCP 50370 con lo scopo di procurarsi un server proxy.


Contatta il server:
Tutti i seguenti:
   • **********andandbarrett.com/images/footer/account.gif?v59=39&tq=gH**********
   • **********etf.com/index.html?tq=gK**********


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 24 ottobre 2011
Descrizione aggiornata da Andrei Ivanes su venerdì 28 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.