English
Deutsch
Francais
Español
Italian
Home
Minacce
TR/Click.Small.HR
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TR/Click.Small.HR - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Click.Small.HR
Scoperto:
23/08/2005
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
20.480 Byte
Somma di controllo MD5:
aab0b0d92b441763d45cff47c9224bcb
Versione VDF:
6.31.1.140
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Symantec: PWSteal.Lemir
• Kaspersky: Trojan-Clicker.Win32.Small.hr
• Panda: Trj/Agent.AIA
• Bitdefender: Trojan.Clicker.Small.HR
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Effetti secondari:
• Disattiva le applicazioni di sicurezza
• Modifica del registro
File
Si copia alla seguente posizione:
•
%SYSDIR%
\iexplore.exe
Cancella la copia di se stesso eseguita inizialmente.
Viene creato il seguente file:
–
%WINDIR%
\deleteme.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Microsoft"="
%SYSDIR%
\iexplore.exe"
I valori delle seguenti chiavi di registro vengono rimossi:
– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
• RavMon
• KAVPersonal50
• RavTimer
• KvMonXP
• iDuba Personal FireWall
• KAVRun
• KpopMon
• Kulansyn
• KavPFW
• KvXP
• ccApp
• SSC_UserPrompt
• NAV CfgWiz
• MCAgentExe
• McRegWiz
• MCUpdateExe
• MSKAGENTEXE
• MSKDetectorExe
• VirusScan Online
• VSOCheckTask
• McAfeeUpdaterUI
• Network Associates Error Reporting Service
• ShStatEXE
• KavStart
• Services
• KWatch9x
– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
• iDuba Personal FireWall
• KavPFW
• KvXP
Vengono aggiunte le seguenti chiavi di registro:
– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\MskService
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McShield
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
• Start=dword:00000004
Processi terminati
Lista dei processi che vengono terminati:
• CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe
I processi con le seguenti caratteristiche vengono terminati:
• Titolo: Symantec AntiVirus Nome classe: KV2004
• Titolo: RavMon.exe Nome classe: RavMonClass
• Titolo: ZoneAlarm Nome classe: ZAFrameWnd
• Titolo:
%caratteri double-byte%
Nome classe: Tapplication
• Titolo:
%caratteri double-byte%
Nome classe: TForm1
• Titolo:
%casuale%
Nome classe: TfLockDownMain
• Titolo:
%casuale%
Nome classe: KvXP_ExpertFrame
• Titolo:
%casuale%
Nome classe: WHXMDI0
I seguenti servizi vengono disattivati:
• ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
Core LC; wscsvc
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Irina Boldea il Tue, 23 Aug 2005 09:15 (GMT+1)
Descrizione aggiornata da Irina Boldea il Mon, 29 Aug 2005 08:34 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce TR/Click.Small.HR
Stampa questa pagina
