English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/Norip.1
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/Norip.1 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Norip.1
Scoperto:
20/07/2006
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
89.911 Byte
Somma di controllo MD5:
c38df15f1aae333a7dac39cb9646ed55
Versione VDF:
6.35.00.195
Versione IVDF:
6.35.00.235
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Disattiva le applicazioni di sicurezza
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%WINDIR%
\LSASS.EXE
•
%WINDIR%
\EXERT.EXE
•
%WINDIR%
\Debug\DebugProgram.exe
•
%SYSDIR%
\MSCONFIG.EXE
•
%SYSDIR%
\dxdiag.com
•
%SYSDIR%
\regedit.com
•
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.COM
•
%PROGRAM FILES%
\Common Files\INTEXPLORE.PIF
Può corrompere i seguenti file:
• RAVMON.EXE
• TROJDIE*
• KPOP*
• CCENTER*
• *ASSISTSE*
• KPFW*
• AGENTSVR*
• KV*
• KREG*
• IEFIND*
• IPARMOR*
• SVI.EXE
• UPHC*
• RULEWIZE*
• FYGT*
• RFWSRV*
• RFWMA*
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• ToP =
%WINDIR%
\LSASS.exe
Vengono aggiunte le seguenti chiavi di registro:
– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
• @ = %1
– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
• @ =
%WINDIR%
\EXERT.exe "%1" %*
Vengono cambiate le seguenti chiavi di registro:
– [HKCR\.exe]
Nuovo valore:
• @ = WindowFiles
– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
Valore precedente:
• @ =
%impostazioni definite dell'utente%
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" -nohome
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Valore precedente:
• Check_Associations =
%impostazioni definite dell'utente%
Nuovo valore:
• Check_Associations = No
– [HKCR\Applications\iexplore.exe\shell\open\command]
Valore precedente:
• @ = "
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" %1
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" %1
– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
OpenHomePage\Command]
Valore precedente:
• @ = "
%PROGRAM FILES%
\Internet Explorer\iexplore.exe"
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com"
– [HKCR\ftp\shell\open\command]
Valore precedente:
• @ =
%impostazioni definite dell'utente%
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" %1
– [HKCR\htmlfile\shell\open\command]
Valore precedente:
• @ =
%impostazioni definite dell'utente%
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" -nohome
– [HKCR\htmlfile\shell\opennew\command]
Valore precedente:
• @ =
%impostazioni definite dell'utente%
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Common Files\INTEXPLORE.pif" %1
– [HKCR\http\shell\open\command]
Valore precedente:
• @ =
%impostazioni definite dell'utente%
Nuovo valore:
• @ = "
%PROGRAM FILES%
\Common Files\INTEXPLORE.pif" -nohome
Processi terminati
Il seguente processo viene terminato:
• RAVMON.EXE
I processi che contengono una delle seguenti stringhe vengono terminati:
• TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA
Backdoor
Contatta il server:
Uno dei seguenti:
• http://upd.etsoft.com.cn/UPD/**********
• http://upd.etsoft.com.cn/upd/**********
Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Andrei Gherman il Fri, 28 Jul 2006 15:49 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Fri, 28 Jul 2006 16:22 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce TR/Norip.1
Stampa questa pagina
.gif)
