Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Gendal.kdv.316739
Scoperto:21/09/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:126.976 Byte
Somma di controllo MD5:0BE55123C40A8F4AF0A355528551E306
Versione VDF:7.11.15.03 - mercoledì 21 settembre 2011
Versione IVDF:7.11.15.03 - mercoledì 21 settembre 2011

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.anu
   •  TrendMicro: WORM_DORKBOT.BEE
   •  Sophos: W32/Dorkbot-Q


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.




Prova a scaricare dei file:

– La posizione è la seguente:
   • **********.185.246.40/zaberz.exe
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • **********104.herosh.com/2011/08/29/601703956.gif
Al momento dell'analisi questo file non era più disponibile.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********marketallone.com
Porta: 3800
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Nome del processo:
   • %processo casuale%

L'accesso ai seguenti siti web è effettivamente bloccato:
   • bitdefender.; bullguard.; garyshood.; gdatasoftware.; kaspersky.;
      malwarebytes.; novirusthanks.; onecare.live.; onlinemalwarescanner.;
      pandasecurity.; precisesecurity.; sunbeltsoftware.; threatexpert.;
      trendmicro.; virusbuster.nprotect.; viruschief.; virustotal.


 Varie Accede alle risorse Internet:
   • api.wipmania.com


Anti debugging
Cerca il debugger o la macchina virtuale utilizzando tecniche legate al tempo.

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 24 ottobre 2011
Descrizione aggiornata da Andrei Ilie su martedì 25 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.