Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Malex.E.966
Scoperto:15/07/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
Dimensione del file:89632 Byte
Somma di controllo MD5:fa758a2a6ae4fbc1d0df65fed11bf968
Versione VDF:7.11.36.70 - domenica 15 luglio 2012
Versione IVDF:7.11.36.70 - domenica 15 luglio 2012

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Generic.dx!bf3v
   •  Kaspersky: Trojan-PSW.Win32.Tepfer.aoxk
   •  Bitdefender: Gen:Variant.Kazy.73702
   •  Grisoft: Generic28.CFPU
   •  Eset: a variant of Win32/Kryptik.AIJX trojan
     GData: Gen:Variant.Kazy.73702
     Norman: Trojan W32/Troj_Generic.CXXCF


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %appdata%\System32\csrss.exe
   • %appdata%\rundll32.exe
   • %appdata%\svchost.exe

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="C:\%appdata%\\System32\\csrss.exe"
   • "Host-process Windows (Rundll32.exe)"="C:\%appdata%\\rundll32.exe"
   • "Service Host Process for Windows"="C:\%appdata%\\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="C:\%appdata%\\System32\\csrss.exe"
   • "Host-process Windows (Rundll32.exe)"="C:\%appdata%\\rundll32.exe"
   • "Service Host Process for Windows"="C:\%appdata%\\svchost.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Host-process Windows (Rundll32.exe)"="C:\%appdata%\\System32\\csrss.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Host-process Windows (Rundll32.exe)"="C:\%appdata%\\System32\\csrss.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Client Server Runtime Process"="C:\%appdata%\\System32\\csrss.exe"
   • "Host-process Windows (Rundll32.exe)"="C:\%appdata%\\rundll32.exe"
   • "Service Host Process for Windows"="C:\%appdata%\\svchost.exe"

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Host-process Windows (Rundll32.exe)"="C:\Documents and
      Settings\\vanciefancie\\Application Data\\System32\\csrss.exe"



Viene aggiunta la seguente chiave di registro:

[HKCU\Software\BC Clients]
   • "0"=".{RM
   • \"'$H/::l <-\0x008DR+=8(<.^]8(\"\";,K *%$NH]1\" / & B/nM-53U>8==),a{1\"=;?2|,U$"
   • "1"=".{RM
   • \"'$H/::l <-\0x008DR+=8(<.^]8(\"\";,K *%$NH]1\" / & B/nM-53U_4 - -a{\0x0192$6,"
   • "2"=".{RM
   • \"'$H/::l <-\0x008DR+=8(<.^]8(\"\";,K *%$NH]1\" / & B/nM-53U^7-!
   • 2&gH9+"
   • "d"="N{R149N:L,>%)o71H"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • smtp.**********e.com
   • puzzle**********talking.com

Descrizione inserita da Wensin Lee su martedì 17 luglio 2012
Descrizione aggiornata da Wensin Lee su martedì 17 luglio 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.