ADSPY/WinAD - Adware / Spyware

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	ADSPY/WinAD
Scoperto:	31/08/2005
Tipo:	Trojan
Sottotipo:	Adware
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Basso
File statico:	Si
Dimensione del file:	47,104 Byte
Somma di controllo MD5:	7daf5088982008bca681a5ede35860ab
Versione VDF:	6.31.0.46

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Adware-WinAd.
   • Kaspersky: AdWare.WinAD.ar
   • VirusBuster: Adware.WinAd.AH

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Sottrae informazioni

File Viene creato il seguente file:

– %sysdir%\ide21201.vxd

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Media Access"="%PROGRAM FILES%\Media Access\MediaAccK.exe"

I valori della seguente chiave di registro vengono rimossi:

– [HKLM\Software\Media Access]
   • Updating
   • Request

Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\LocalServer32]
   • @="C:\PROGRA~1\MEDIAA~1\MEDIAA~2.EXE"

– [HKLM\SOFTWARE\Media Access]
   • "track"="1"
   • "param"="%valori esadecimali%:other::winxp:exe"
   • "LastUpdate"=dword:4315a0a0
   • "reqcount"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   Media Access]
   • "UninstallString"="%PROGRAM FILES%\Media Access\MediaAccess.exe /Remove"
   • "DisplayName"="Media Access"

– [HKCR\MediaAccess.Installer]
   • @="Installer Class"

– [HKCR\MediaAccess.Installer\CLSID]
   • @="{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}"

– [HKCR\MediaAccess.Installer\CurVer]
   • @="MediaAccess.Installer"

Backdoor Contatta il server:
Il seguente:
• **********.windupdates.com/index.php

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

Varie Mutex:
Crea i seguenti Mutex:
• MediaAccess
• MediaAcck

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Fri, 02 Sep 2005 09:24 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Mon, 19 Sep 2005 14:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back