Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Barys.547.4
Scoperto:08/07/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
Dimensione del file:173568 Byte
Somma di controllo MD5:b15e892d4a52fad2a0081cea76abe6f7
Versione VDF:7.11.35.124 - domenica 8 luglio 2012
Versione IVDF:7.11.35.124 - domenica 8 luglio 2012

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: HEUR:Trojan.Win32.Generic
   •  Bitdefender: Gen:Variant.Barys.547
   •  Eset: a variant of Win32/Delf.OGT trojan
     GData: Gen:Variant.Barys.547
     Norman: Trojan W32/Suspicious_Gen5.EUKB


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\wbem\WtiSysSt.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:00000009



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\ControlSet001\Services\SrvWinDrivs4]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="c:\windows\\System32\\wbem\\WtiSysSt.exe"
   • "DisplayName"="SrvWinDrivs4"
   • "ObjectName"="LocalSystem"

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVWINDRIVS4]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVWINDRIVS4\0000]
   • "Service"="SrvWinDrivs4"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVWINDRIVS4\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="SrvWinDrivs4"

[HKLM\SYSTEM\ControlSet001\Services\SrvWinDrivs4\Enum]
   • "0"="Root\\LEGACY_SRVWINDRIVS4\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • **********fo.in
   • www.li**********.de

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Delphi.

Descrizione inserita da Wensin Lee su mercoledì 15 agosto 2012
Descrizione aggiornata da Wensin Lee su mercoledì 15 agosto 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.