Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Kazy.31951.1
Scoperto:25/07/2011
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:168.960 Byte
Somma di controllo MD5:5C06EEE2D31F0E4AF6231B0D9E84806B
Versione VDF:7.11.12.81 - lunedì 25 luglio 2011
Versione IVDF:7.11.12.81 - lunedì 25 luglio 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Gbot.nfv
   •  TrendMicro: BKDR_CYCBOT.SME3
   •  Microsoft: Backdoor:Win32/Cycbot.B


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\Microsoft\conhost.exe



Viene creato il seguente file:

– %APPDATA%\Microsoft\stor.cfg

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%APPDATA%\Microsoft\conhost.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:%numero%"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "ProxyEnable"=dword:00000001

 Backdoor Viene aperta la seguente porta:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server proxy.


Contatta il server:
Tutti i seguenti:
   • http://**********anesegreenteaonline.com/assets/images/greentea-cha-1.gif?v85=75&tq=gJ**********
   • http://**********multstoryonline.com/blog/images/3521.jpg?v55=19&tq=gK**********


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su giovedì 27 ottobre 2011
Descrizione aggiornata da Andrei Ivanes su venerdì 4 novembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.