TR/Kebede.F - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Kebede.F
Scoperto:	29/06/2005
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Alto
File statico:	Si
Dimensione del file:	12.304 Byte
Somma di controllo MD5:	d8b6aa4bf9ae89ca1eff5d86c4f45905
Versione VDF:	6.31.00.122

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • TrendMicro: TROJ_KEDEBE.E
   • Bitdefender: Trojan.Vb.ZX

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Abbassa le impostazioni di sicurezza

File Cancella i file che contengono una delle seguenti sottostringhe:
   • APLICA32
   • APVXDWIN
   • ATCON
   • ATRO55EN
   • AU
   • AV
   • BD_PROFESSIONAL
   • BIDEF
   • BIDSERVER
   • BISP
   • BLA
   • BOOTWARN
   • BORG2
   • BS120
   • CCAPP
   • CLEAN
   • CMD
   • COMMAND
   • CWNT
   • DEPUTY
   • DIAL
   • DPF
   • IFW2000
   • DRWEBUPW
   • EDIT
   • ENT
   • FAST
   • FIREWALL
   • FP-WIN_TRIAL
   • FRW
   • GBMENU
   • GBPOLL
   • GCAS
   • GUARD
   • HACKTRACERSETUP
   • HIJACK
   • HTLOG
   • HWPE
   • IAMAPP
   • IAMSERV
   • ICLOAD
   • ICSSUPPNT
   • ICSUPP95
   • ICSUPPNT
   • IPARMOR
   • IRIS
   • JAMMER
   • KERIO
   • LDPRO
   • LLSSEV
   • LOCALNET
   • LOCKDOWN
   • LSETUP
   • LUALL
   • LUCOMS
   • MAIN
   • MCA
   • MGR
   • MGUI
   • MINILOG
   • MON
   • MOOLIVE
   • MRFLUX
   • MSCONFIG
   • MSINFO32
   • MSSMMC32
   • MU0311AD
   • NC2000
   • NCINST4
   • NDD32
   • NETARMOR
   • NETINFO
   • NETSTAT
   • NORTO
   • MNTOR
   • NTVDM
   • NVARCH16
   • NWINST4
   • NWTOOL16
   • OSTRONET
   • OUTPOST
   • PANIXK
   • PC
   • PDSETUP
   • PERISCOPE
   • PERSFW
   • PF
   • SHN
   • PLATIN
   • PORT
   • PPINUPDT
   • PPTBC
   • PPVSTOP
   • PROC
   • PROTECT
   • PROXY
   • PSPF
   • PURGE
   • PVIEW95
   • REG
   • RESCUE
   • RTVSCN95
   • RULAUNCH
   • SAFE
   • SBSERV
   • SCAN
   • SD
   • SETUPVAMEEVAL
   • SGSSFW32
   • SHELL
   • SMSRSS
   • SNDSRVC
   • SOFI
   • SOPHO
   • SPBBCSVC
   • SPF
   • SPHINX
   • SPY
   • ST2
   • STINGER
   • SUPFTRL
   • SYMA
   • SYN
   • TITANIN
   • TRACERT
   • TRJSETUP
   • TROJAN
   • UNDOBOOT
   • UPDATE
   • UPGRADE
   • VIRUS
   • ZON

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • symantec.com; www.symantec.com; www.microsoft.com; microsoft.com;
      windowsupdate.com; securityresponse.symantec.com;
      www.windowsupdate.com; sophos.com; www.sophos.com; mcafee.com;
      definitions.symantec.com; networkassociates.com;
      downloads-eu1.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads1.kaspersky-labs.com;
      www.kaspersky.com; www.kaspersky-labs.com; download.mcafee.com;
      updates.symantec.com; kaspersky.com; viruslist.com;
      liveupdate.symantecliveupdate.com; www.f-secure.com; www.nai.com;
      nai.com; trendmicro.com; www.download.com; download.com;
      www.networkassociates.com; us.mcafee.com; www.zonelabs.com;
      rads.mcafee.com; download.zonelabs.com; cm2.zonelabs.com; avp.com;
      www.avp.com; update.zonelabs.com; www.mcafee.com; www.trendmicro.com;
      dispatch.mcafee.com

L'host del file modificato sarà del tipo:

Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • APLICA32; APVXDWIN; ATCON; ATRO55EN; AU; AV; BD_PROFESSIONAL; BIDEF;
      BIDSERVER; BISP; BLA; BOOTWARN; BORG2; BS120; CCAPP; CLEAN; CMD;
      COMMAND; CWNT; DEPUTY; DIAL; DPF; IFW2000; DRWEBUPW; EDIT; ENT; FAST;
      FIREWALL; FP-WIN_TRIAL; FRW; GBMENU; GBPOLL; GCAS; GUARD;
      HACKTRACERSETUP; HIJACK; HTLOG; HWPE; IAMAPP; IAMSERV; ICLOAD;
      ICSSUPPNT; ICSUPP95; ICSUPPNT; IPARMOR; IRIS; JAMMER; KERIO; LDPRO;
      LLSSEV; LOCALNET; LOCKDOWN; LSETUP; LUALL; LUCOMS; MAIN; MCA; MGR;
      MGUI; MINILOG; MON; MOOLIVE; MRFLUX; MSCONFIG; MSINFO32; MSSMMC32;
      MU0311AD; NC2000; NCINST4; NDD32; NETARMOR; NETINFO; NETSTAT; NORTO;
      MNTOR; NTVDM; NVARCH16; NWINST4; NWTOOL16; OSTRONET; OUTPOST; PANIXK;
      PC; PDSETUP; PERISCOPE; PERSFW; PF; SHN; PLATIN; PORT; PPINUPDT;
      PPTBC; PPVSTOP; PROC; PROTECT; PROXY; PSPF; PURGE; PVIEW95; REG;
      RESCUE; RTVSCN95; RULAUNCH; SAFE; SBSERV; SCAN; SD; SETUPVAMEEVAL;
      SGSSFW32; SHELL; SMSRSS; SNDSRVC; SOFI; SOPHO; SPBBCSVC; SPF; SPHINX;
      SPY; ST2; STINGER; SUPFTRL; SYMA; SYN; TITANIN; TRACERT; TRJSETUP;
      TROJAN; UNDOBOOT; UPDATE; UPGRADE; VIRUS; ZON

Varie Mutex:
Crea il seguente Mutex:
• DroppedKebede

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Irina Boldea il Tue, 28 Mar 2006 10:09 (GMT+1)
Descrizione aggiornata da Irina Boldea il Tue, 28 Mar 2006 13:51 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back