Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Matsnu.A.75
Scoperto:26/08/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:65.536 Byte
Somma di controllo MD5:B80FCBA4B91876363A2977DAA472A143
Versione VDF:7.11.40.252 - domenica 26 agosto 2012
Versione IVDF:7.11.40.252 - domenica 26 agosto 2012

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
   •  DrWeb: Trojan.DownLoader6.48319


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\%stringa di caratteri casuale%.pre
   • %APPDATA%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe"

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Design dell'email:



Oggetto: Zweite Abmahnung %data corrente%
Corpo della mail:
   • Guten Tag %Nome utente dell'account email%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir müssen Ihnen die Kosten von 14,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %data corrente% auf das angegebene Konto zu übersenden.
     
     Überweisungsschein und Artikel Liste sind in dem angefügten Schreiben.
     
     Mit besten Grüßen
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Allegato:
   • Abmahnung %Nome utente dell'account email%.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Backdoor Contatta il server:
Il seguente:
   • http://seneesamj.com/ld/a.**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Capacità di controllo remoto:
    • Download di file

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Tutti i seguenti processi:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Borland C++.

Descrizione inserita da Tudor Ciochina su mercoledì 29 agosto 2012
Descrizione aggiornata da Tudor Ciochina su giovedì 30 agosto 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.