Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:W32/Virut.CEE
Scoperto:21/06/2010
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:No
Dimensione del file:143360 Byte
Somma di controllo MD5:bd55cdf096d39f047163390dd2be8d69
Versione VDF:7.10.03.162
Versione IVDF:7.10.08.131 - lunedì 21 giugno 2010

 Generale Metodo di propagazione:
   • Infetta file


Alias:
   •  Mcafee: PWS-Zbot.gen.di
   •  Kaspersky: Packed.Win32.Krap.ar
   •  Bitdefender: Gen:Malware.Heur.iq0@bS!EvhcG
   •  Grisoft: Generic_r.AAJ
   •  Eset: Win32/Ramnit.A virus
   •  GData: Gen:Malware.Heur.iq0@bS!EvhcG
   •  DrWeb: Trojan.Inject.14349
   •  Norman: Trojan W32/Ramnit.W


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Infetta file

 File Vengono creati i seguenti file:

%PROGRAM FILES%\Microsoft\WaterMark.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 File virale Tipo di infettore:

Appender: il codice principale del virus viene aggiunto alla fine del file infetto.
– L'ultima sezione del file è stata modificata per includere il codice del virus.
– Una sezione è stata aggiunta al file infetto.

I seguenti file sono infetti:

Per tipo di file:
   • *.exe
   • *.dll
   • *.htm

File in uno dei seguenti percorsi e in tutti i percorsi secondari:
   • %unità disco%

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Nuovo valore:
   • "Userinit"="c:\windows\\system32\\userinit.exe,,C:\Program Files\\microsoft\\watermark.exe"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • erwbtkidthetcwerc.com
   • rvbwtbeitwjeitv.com
   • rterybrstutnrsbberve.com


File falsificati:
Finge di essere il seguente processo: npswf32.dll

Descrizione inserita da Wensin Lee su giovedì 10 maggio 2012
Descrizione aggiornata da Wensin Lee su giovedì 10 maggio 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.