Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Gamier.A
Scoperto:30/08/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:2.042.368 Byte
Somma di controllo MD5:047ebad5131af79ed7d340293a432ab2
Versione VDF:7.11.41.90 - giovedì 30 agosto 2012
Versione IVDF:7.11.41.90 - giovedì 30 agosto 2012

 Generale Metodi di propagazione:
   • Email


Piattaforme / Sistemi operativi:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Scarica file maligni
   • Modifica del registro
   • Utilizza un proprio motore SMTP per l'invio di email

 File Si copia alla seguente posizione:
   • %APPDATA%\iexplore.exe



Vengono creati i seguenti file:

File non maligni:
   • %APPDATA%\libeay32.dll
   • %APPDATA%\ssleay32.dll

%APPDATA%\Google_Tool_Bar_Notification291.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%APPDATA%\Nota_Fiscal723433485.zip Ulteriori analisi hanno accertato che questo file anch'esso un malware.



Prova ad eseguire i seguenti file:

Nome del file:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe


Nome del file:
   • %APPDATA%\Google_Tool_Bar_Notification291.exe
In pi contiene codice "maligno".

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Setup Windows Media Player"="%APPDATA%\iexplore.exe"

  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Setup Windows Media Player"="%APPDATA%\iexplore.exe"

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe


 Varie Anti debugging
Verifica se uno dei seguenti programmi in esecuzione:
   • Regmon
   • Filemon
   • Procmon
   • Wireshark

Cerca il debugger o la macchina virtuale utilizzando tecniche legate al tempo.

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Delphi.

Descrizione inserita da Tudor Ciochina su giovedì 30 agosto 2012
Descrizione aggiornata da Tudor Ciochina su venerdì 31 agosto 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.