Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Nuqel.BE.7
Scoperto:23/11/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:721745 Byte
Somma di controllo MD5:759ca80274db9600865f98dd29ea7d5a
Versione VDF:7.11.18.17 - mercoledì 23 novembre 2011
Versione IVDF:7.11.18.17 - mercoledì 23 novembre 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Kaspersky: Worm.Win32.AutoIt.dn
   •  Bitdefender: Win32.Worm.Sohanat.CK
   •  Grisoft: Dropper.Generic4.CAYF
   •  Eset: Win32/Autoit.EP.Gen worm
   •  GData: Win32.Worm.Sohanat.CK
   •  Norman: New unknown virus W32/Obfuscated.H!genr


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Yahoo Messengger"="c:\windows\\system32\\gphone.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NofolderOptions"=dword:00000001

– HKLM\SYSTEM\ControlSet001\Services\Schedule
   • "AtTaskMaxHours"=dword:00000000

– HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings
   • "ProxyEnable"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Start Page"="http://rnd009.googlepages.com/google.html"



Vengono cambiate le seguenti chiavi di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe gphone.exe"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   Valore precedente:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Nuovo valore:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"

Pagina iniziale di Internet Explorer:

– HKCU\Software\Microsoft\Internet Explorer\Main
   Valore precedente:
   • "Start Page"="about:blank"
   Nuovo valore:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Varie Accede alle risorse Internet:
   • **********go.**********pages.com/setting.ini
   • **********cam.**********pages.com/setting.ini


Event handler:
Crea i seguenti Event handler:
   • CloseServiceHandle
   • OpenSCManager
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • ShellExecute

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Wensin Lee su mercoledì 30 maggio 2012
Descrizione aggiornata da Wensin Lee su mercoledì 30 maggio 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.