Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Agent.58368.3
Scoperto:30/08/2012
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:58.368 Byte
Somma di controllo MD5:3CCFB3CA8C0AAAA4E93856BC79570106
Versione VDF:7.11.41.90 - giovedì 30 agosto 2012
Versione IVDF:7.11.41.90 - giovedì 30 agosto 2012

 Generale Metodo di propagazione:
   • Email


Alias:
     Microsoft: Win32/Gamarue.I


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Fa copie di se stesso utilizzando un nome file dalle liste
A: C:\Documents and Settings\All Users Utilizzando uno dei seguenti nomi:
   • svchost.exe

A: %ALLUSERSPROFILE%\Local Settings\Temp Utilizzando uno dei seguenti nomi:
   • %stringa di caratteri casuale%.bat
   • %stringa di caratteri casuale%.pif
   • %stringa di caratteri casuale%.scr
   • %stringa di caratteri casuale%.com


 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%numero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%stringa di caratteri casuale%.pif"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%numero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%stringa di caratteri casuale%.bat"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%numero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%stringa di caratteri casuale%.scr"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%numero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%stringa di caratteri casuale%.com"

 Email Non possiede una propria procedura di propagazione, per si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente falso.
Il mittente della mail il seguente:
   • notification+aaic-mm-nir_@facebookmail.com


Oggetto:
Il seguente:
   • Your friend wants to share photos and updates with you



Corpo dell'email:
– Contiene codice HTML.
Il corpo dellemail come il seguente:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


File allegato:
Il nome del file allegato :
   • Your_Friend_New_photos-updates_id%numero%.zip

L'allegato un archivio che contiene una copia del malware stesso.



Lemail si presenta come di seguito:


 Backdoor Viene aperta la seguente porta:

%ALLUSERSPROFILE%\svchost.exe sulla porta TCP 8000 con lo scopo di procurarsi una condivisione remota.


Contatta il server:
Il seguente:
   • http://stripe**********image.php

Una volta connesso recupera una lista di server supplementare.
Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
     Stato corrente del malware
     Nome Utente

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • %SYSDIR%\wuauclt.exe


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Crittografia:
Crittografato: il codice del virus all'interno del file crittografato.

Descrizione inserita da Ana Maria Niculescu su giovedì 30 agosto 2012
Descrizione aggiornata da Andrei Gherman su giovedì 30 agosto 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.