Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Obisty.A
Scoperto:19/12/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:148.992 Byte
Somma di controllo MD5:89FA070B12AEE94C97F15AFBC8404E00
Versione VDF:7.11.54.86 - mercoledì 19 dicembre 2012
Versione IVDF:7.11.54.86 - mercoledì 19 dicembre 2012

 Generale Metodo di propagazione:
   • Visitando siti web infetti

Individuazione simile:
     JS/Redirector.SB
     EXP/Pidief.zar


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\KB%stringa casuale di otto caratteri%.exe



Viene creato il seguente file:

%TEMPDIR%\exp3.tmp.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%stringa casuale di otto caratteri% .exe

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://84.22.100.108:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://182.237.17.180:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://123.49.61.59:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://204.15.30.202:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://64.76.19.236:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://59.90.221.6:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://210.56.23.100:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://94.73.129.120:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://174.143.174.136:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://203.217.147.52:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.207.237.170:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://23.29.73.220:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://69.64.89.82:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.63.229.10:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.86.113.66:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://174.121.188.156:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://50.22.94.96:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://173.203.102.204:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.117.107.25:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://174.142.68.239:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://188.212.156.170:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://188.120.226.30:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://78.28.120.32:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://217.65.100.41:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://81.93.250.157:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://188.40.109.204:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto. Questo fatto tramite il metodo HTTP POST utilizzando uno script PHP.

 Come il virus si inserisce nei processi  Si inserisce come minaccia nei processi.

Si inserisce in tutti i processi.


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Liviu Serban su mercoledì 19 dicembre 2012
Descrizione aggiornata da Andrei Gherman su mercoledì 19 dicembre 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.