Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Rogue.kdv.640189
Scoperto:03/07/2012
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:94.720 Byte
Somma di controllo MD5:C142F7941922369C46E948FF508F67CE
Versione VDF:7.11.34.246 - martedì 3 luglio 2012
Versione IVDF:7.11.34.246 - martedì 3 luglio 2012

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
     Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
     DrWeb: Trojan.DownLoader6.13798


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\KB00027502.exe

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%TEMPDIR%\POS1.tmp Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
[HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Backdoor Contatta il server:
Uno dei seguenti:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • %WINDIR%\Explorer.EXE


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Daniel Mocanu su mercoledì 8 agosto 2012
Descrizione aggiornata da Daniel Mocanu su mercoledì 8 agosto 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.