Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Injector.LO
Scoperto:25/04/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:67.072 Byte
Somma di controllo MD5:b2b0c8d66ef083810Bcf5f54e15ee806
Versione VDF:7.11.28.152
Versione IVDF:7.11.28.152

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Inject.dzsp
   •  Grisoft: SHeur4.AAYW
   •  Eset: Win32/Trustezeb.A
     GData: Trojan.Injector.ADI
     Norman: Trojan W32/Suspicious_Gen4.ACYPJ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %APPDATA%\Realtec\Realtecdriver.exe
   • %APPDATA%\Qvmh\C10199CBD8812EB1F92D.exe
   • %TEMP%\%stringa di 10 caratteri casuali%.pre
   • %SYSDIR%\3E5D1393D8812EB16C61.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Realtecdriver"="%APPDATA\Realtec\Realtecdriver.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\3E5D1393D8812EB16C61.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%APPDATA\Qvmh\C10199CBD8812EB1F92D.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%stringa di 10 caratteri casuali%.pre;"

 Come il virus si inserisce nei processi – Si inserisce in un processo.

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=lfk&data=uJXbykvbhoZH1VxnSk0wIYg6TtL2zhzZ


Event handler:
Crea i seguenti Event handler:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Wensin Lee su giovedì 26 aprile 2012
Descrizione aggiornata da Matthias Schlindwein su giovedì 26 aprile 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.