Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Kazy.31091
Scoperto:17/07/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:200.704 Byte
Somma di controllo MD5:C84E0EBE9E175C9089758E05AC11F4CE
Versione VDF:7.11.11.173 - domenica 17 luglio 2011
Versione IVDF:7.11.11.173 - domenica 17 luglio 2011

 Generale Alias:
   •  TrendMicro: BKDR_CYCBOT.SME3
   •  Sophos: Troj/FakeAV-EFL
   •  AhnLab: Backdoor/Win32.Gbot


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\dwm.exe



Viene creato il seguente file:

– %APPDATA%\%valori esadecimali%.%valori esadecimali% Contiene parametri utilizzati dal malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%APPDATA%\dwm.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:%numero%"

 Backdoor Le seguenti porte sono aperte:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server proxy.
%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Il seguente:
   • http://**********stats.com/images/logo.png?tq=gF**********


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su martedì 25 ottobre 2011
Descrizione aggiornata da Andrei Ivanes su venerdì 28 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.