Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Kazy.100152.7
Scoperto:17/10/2012
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:272896 Byte
Somma di controllo MD5:0df3a52b7a304b6d5ec932f0d3e21d0b
Versione VDF:7.11.46.124 - mercoledì 17 ottobre 2012
Versione IVDF:7.11.46.124 - mercoledì 17 ottobre 2012

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Piattaforme / Sistemi operativi:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Può essere usato per eseguire codice dannoso
   • Utenti malintenzionati o malware possono servirsene per ridurre le impostazioni di sicurezza
   • Si può utilizzare per modificare le impostazioni del sistema che autorizzano o ingigantiscono il comportamento di potenziali malware.
   • Clona un file “maligno”

 File Si copia alla seguente posizione:
   • %WINDIR%\appatch\%stringa casuale di sei caratteri%.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%stringa casuale di sei caratteri%.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%stringa casuale di sei caratteri%.exe"
   • "run"="%WINDIR%\apppatch\%stringa casuale di sei caratteri%.exe"



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "userinit"="%SYSDIR%\userinit.exe
   Nuovo valore:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%stringa casuale di sei caratteri%.exe,"
   • "System"="%WINDIR%\apppatch\%stringa casuale di sei caratteri%.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


Descrizione inserita da Elias Lan su domenica 21 ottobre 2012
Descrizione aggiornata da Elias Lan su domenica 21 ottobre 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.