Descrizione completa

Nome del virus:	TR/Ransom.Foreign.abna
Scoperto:	14/02/2013
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio-Basso
File statico:	No
Versione VDF:	7.11.61.26 - giovedì 14 febbraio 2013
Versione IVDF:	7.11.61.26 - giovedì 14 febbraio 2013

Generale Metodo di propagazione:
   • Visitando siti web infetti

Alias:
   • Kaspersky: Trojan-Ransom.Win32.Foreign.abna
   • Avast: MSIL:LockScreen-Q
   • Grisoft: PSW.Agent.BASM
   • VirusBuster: Trojan.Foreign!IMuNi5yt0b4
   • Eset: MSIL/PSW.Stealock.A trojan
   • Norman: Trojan W32/Stealock.A

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Effetti secondari:
   • Clona un file “maligno”
   • Funzione “pricetrap” - l’utente è ingannevolmente indotto a fare una sottoscrizione costosa

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
• %HOME%\Application Data\Windows Authentication\Windows Authentication.exe

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Authentication"="%HOME%\\Application Data\\Windows Authentication\\Windows Authentication.exe"

I valori della seguente chiave di registro vengono rimossi:

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates]
   • "4EFCED9C6BDD0C985CA3C7D253063C5BE6FC620C"=-
   • "4EF2E6670AC9B5091FE06BE0E5483EAAD6BA32D9"=-
   • "4C95A9902ABE0777CED18D6ACCC3372D2748381E"=-
   • "4BA7B9DDD68788E12FF852E1A024204BF286A8F6"=-
   • "4B421F7515F6AE8A6ECEF97F6982A400A4D9224E"=-
   • "47AFB915CDA26D82467B97FA42914468726138DD"=-
   • "4463C531D7CCC1006794612BB656D3BF8257846F"=-
   • "43F9B110D5BAFD48225231B0D0082B372FEF9A54"=-
   • "43DDB1FFF3B49B73831407F6BC8B975023D07C50"=-
   • "40E78C1D523D1CD9954FAC1A1AB3BD3CBAA15BFC"=-
   • "4072BA31FEC351438480F62E6CB95508461EAB2F"=-
   • "3F85F2BB4A62B0B58BE1614ABB0D4631B4BEF8BA"=-
   • "394FF6850B06BE52E51856CC10E180E882B385CC"=-
   • "36863563FD5128C7BEA6F005CFE9B43668086CCE"=-
   • "317A2AD07F2B335EF5A1C34E4B57E8B7D8F1FCA6"=-
   • "2F173F7DE99667AFA57AF80AA2D1B12FAC830338"=-
   • "284F55C41A1A7A3F8328D4C262FB376ED6096F24"=-
   • "273EE12457FDC4F90C55E82B56167F62F532E547"=-
   • "24BA6D6C8A5B5837A48DB5FAE919EA675C94D217"=-
   • "24A40A1F573643A67F0A4B0749F6A22BF28ABB6B"=-
   • "23E594945195F2414803B4D564D2A3A3F5D88B8C"=-
   • "216B2A29E62A00CE820146D8244141B92511B279"=-
   • "209900B63D955728140CD13622D8C687A4EB0085"=-
   • "1F55E8839BAC30728BE7108EDE7B0BB0D3298224"=-
   • "1331F48A5DA8E01DAACA1BB0C17044ACFEF755BB"=-
   • "0B77BEBBCB7AA24705DECC0FBD6A02FC7ABD9B52"=-
   • "049811056AFE9FD0F5BE01685AACE6A5D1C4454C"=-
   • "0483ED3399AC3608058722EDBC5E4600E3BEF9D7"=-
   • "00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099"=-
   • "0048F8D37B153F6EA2798C323EF4F318A5624A9E"=-
   • "0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43"=-

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4EFCED9C6BDD0C985CA3C7D253063C5BE6FC620C]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4EF2E6670AC9B5091FE06BE0E5483EAAD6BA32D9]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4C95A9902ABE0777CED18D6ACCC3372D2748381E]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4BA7B9DDD68788E12FF852E1A024204BF286A8F6]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4B421F7515F6AE8A6ECEF97F6982A400A4D9224E]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   47AFB915CDA26D82467B97FA42914468726138DD]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4463C531D7CCC1006794612BB656D3BF8257846F]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   43F9B110D5BAFD48225231B0D0082B372FEF9A54]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   43DDB1FFF3B49B73831407F6BC8B975023D07C50]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   40E78C1D523D1CD9954FAC1A1AB3BD3CBAA15BFC]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   4072BA31FEC351438480F62E6CB95508461EAB2F]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   3F85F2BB4A62B0B58BE1614ABB0D4631B4BEF8BA]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   394FF6850B06BE52E51856CC10E180E882B385CC]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   36863563FD5128C7BEA6F005CFE9B43668086CCE]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   317A2AD07F2B335EF5A1C34E4B57E8B7D8F1FCA6]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   2F173F7DE99667AFA57AF80AA2D1B12FAC830338]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   284F55C41A1A7A3F8328D4C262FB376ED6096F24]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   273EE12457FDC4F90C55E82B56167F62F532E547]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   24BA6D6C8A5B5837A48DB5FAE919EA675C94D217]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   24A40A1F573643A67F0A4B0749F6A22BF28ABB6B]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   23E594945195F2414803B4D564D2A3A3F5D88B8C]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   216B2A29E62A00CE820146D8244141B92511B279]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   209900B63D955728140CD13622D8C687A4EB0085]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   1F55E8839BAC30728BE7108EDE7B0BB0D3298224]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   1331F48A5DA8E01DAACA1BB0C17044ACFEF755BB]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   0B77BEBBCB7AA24705DECC0FBD6A02FC7ABD9B52]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   049811056AFE9FD0F5BE01685AACE6A5D1C4454C]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   0483ED3399AC3608058722EDBC5E4600E3BEF9D7]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   0048F8D37B153F6EA2798C323EF4F318A5624A9E]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
   0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43]
   Nuovo valore:
   • "Blob"=%valori esadecimali%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

Descrizione inserita da Alexander Bauer su lunedì 25 febbraio 2013
Descrizione aggiornata da Sven Carlsen su lunedì 25 febbraio 2013

Indietro . . . .

Devi aggiustare il tuo PC?

Prodotti in evidenza

Altri prodotti

I prodotti piu conosciuti

Tutti i prodotti

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti

Prodotti in evidenza

Altri prodotti

I prodotti piu conosciuti

Tutti i prodotti

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti