Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/WinO.A
Scoperto:09/03/2010
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:63.639 Byte
Somma di controllo MD5:463f93ee63271f385e100aafb53f7790
Versione IVDF:7.10.05.08 - martedì 9 marzo 2010

 Generale Alias:
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Modifica del registro

 File Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %TEMPDIR%\fig24.tmp



Vengono creati i seguenti file:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Gen

%TEMPDIR%\fig24.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Gen

– "%directory di esecuzione del malware%\%executed file.bat%"



Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




Prova ad eseguire i seguenti file:

– Nome del file:
   • cmd /c start iexplore -embedding


– Nome del file:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


– Nome del file:
   • cmd /c "%TEMPDIR%\fig24.bat"


– Nome del file:
   • cmd /c "%directory di esecuzione del malware%\%executed file.bat%"

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuovo valore:
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   Nuovo valore:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 6 aprile 2010
Descrizione aggiornata da Petre Galan su martedì 6 aprile 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.