Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Matsnu.A.75
Scoperto:26/08/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:65.536 Byte
Somma di controllo MD5:B80FCBA4B91876363A2977DAA472A143
Versione VDF:7.11.40.252 - domenica 26 agosto 2012
Versione IVDF:7.11.40.252 - domenica 26 agosto 2012

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
     DrWeb: Trojan.DownLoader6.48319


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\%stringa di caratteri casuale%.pre
   • %APPDATA%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe"

 Email Non possiede una propria procedura di propagazione, per si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Design dell'email:



Oggetto: Zweite Abmahnung %data corrente%
Corpo della mail:
   • Guten Tag %Nome utente dell'account email%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir mssen Ihnen die Kosten von 14,00 Euro darber hinaus zu der noch offenen Forderung als Mahngebhr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %data corrente% auf das angegebene Konto zu bersenden.
     
     berweisungsschein und Artikel Liste sind in dem angefgten Schreiben.
     
     Mit besten Gren
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Allegato:
   • Abmahnung %Nome utente dell'account email%.zip

L'allegato un archivio che contiene una copia del malware stesso.

 Backdoor Contatta il server:
Il seguente:
   • http://seneesamj.com/ld/a.**********

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

Capacit di controllo remoto:
     Download di file

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Tutti i seguenti processi:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Borland C++.

Descrizione inserita da Tudor Ciochina su mercoledì 29 agosto 2012
Descrizione aggiornata da Tudor Ciochina su giovedì 30 agosto 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.