Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Drop.Injector.etcf
Scoperto:26/04/2012
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):No
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:61.440 Byte
Somma di controllo MD5:dd8c3d5370438068e8ff61391d801e7b
Versione VDF:7.11.28.178 - giovedì 26 aprile 2012
Versione IVDF:7.11.28.178 - giovedì 26 aprile 2012

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %APPDATA%\Bsnoijhcbqe\E58BA09AD8812EB1728E.exe
   • %TEMP%\%stringa di 10 caratteri casuali%.pre
   • %SYSDIR%\7B128C17D8812EB16B33.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%stringa di 10 caratteri casuali%.pre;"

 Come il virus si inserisce nei processi – Si inserisce in un processo.

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • http://**********-a.com/**********.php?id=**********564549&cmd=img
   • http://**********-a.com/**********.php?id=**********564549&cmd=lfk&data=**********k0wIYg6TtL2zhzZ
   • http://**********-a.com/**********.php?id=**********564549&stat=0


Event handler:
Crea i seguenti Event handler:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Wensin Lee su venerdì 27 aprile 2012
Descrizione aggiornata da Wensin Lee su venerdì 27 aprile 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.