Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Skelf.A
Scoperto:17/05/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:34.477 Byte
Somma di controllo MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Versione VDF:7.11.30.90 - giovedì 17 maggio 2012
Versione IVDF:7.11.30.90 - giovedì 17 maggio 2012

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Eset: Win32/Trustezeb.B
     DrWeb: Trojan.Winlock.5908


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\%stringa di caratteri casuale%.pre
   • %SYSDIR%\%stringa di caratteri casuale% .exe
   • %APPDATA%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %stringa di caratteri casuale% = %APPDATA%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%stringa di caratteri casuale%.exe,"



La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Vengono aggiunte le seguenti chiavi di registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%stringa di caratteri casuale%.EXE"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%stringa di caratteri casuale%.EXE"



Vengono cambiate le seguenti chiavi di registro:

Disattiva il Regedit e il Task Manager:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Nuovo valore:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • %SYSDIR%\ctfmon.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX


Crittografia:
Crittografato: il codice del virus all'interno del file crittografato.

Descrizione inserita da Ana Maria Niculescu su giovedì 17 maggio 2012
Descrizione aggiornata da Andrei Gherman su giovedì 17 maggio 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.