Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Injector.tcc
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:936448 Byte
Somma di controllo MD5:98f74b530d4ebf6850c4bc193c558a98

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Rete locale
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Bublik.iza
   •  Eset: Win32/Dorkbot.B worm
     GData: Trojan.Generic.KDV.750144
     DrWeb: BackDoor.IRC.NgrBot.42


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
    Si pu utilizzare per modificare le impostazioni del sistema che autorizzano o ingigantiscono il comportamento di potenziali malware.
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %appdata%\%stringa casuale di sei caratteri%.exe



Viene creato il seguente file:

%appdata%\%1 digit random character string%.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%stringa casuale di sei caratteri%.exe"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • s177.hot**********.com
   • venus.time**********.pl


Event handler:
Crea i seguenti Event handler:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Stringa:
In pi contiene le seguenti stringhe:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Borland C++.

Descrizione inserita da Wensin Lee su lunedì 8 ottobre 2012
Descrizione aggiornata da Wensin Lee su lunedì 8 ottobre 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.