English
Deutsch
Francais
Español
Italian
Home
Minacce
DR/Xbot.L
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
DR/Xbot.L - Dropper
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
DR/Xbot.L
Scoperto:
04/08/2006
Tipo:
Dropper
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
20.384 Byte
Somma di controllo MD5:
2188b1bc1342c0824c2f5429678a310C
Versione VDF:
6.35.01.46
Versione IVDF:
6.35.01.46
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• TrendMicro: BKDR_AGENT.DFT
• Bitdefender: Dropped:Backdoor.Xbot.L
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Clona un file “maligno”
• Modifica del registro
File
Si copia alla seguente posizione:
•
%SYSDIR%
\remote.exe
Cancella la copia di se stesso eseguita inizialmente.
Viene creato il seguente file:
–
%SYSDIR%
\kernel32.ime Viene eseguito ulteriormente dopo che è stato completamente creato. Riconosciuto come:
BDS/Xbot.L
Registro
Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:
– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote]
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000001
• "ImagePath"="
%SYSDIR%
\remote.exe"
• "DisplayName"="Remote Procedure Call (RPC) Remote"
• "ObjectName"="LocalSystem"
• "Description"="Manages the RPC name service database."
– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Security]
• "Security"=
%valori esadecimali%
– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Enum]
• "0"="Root\\LEGACY_RPCREMOTE\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo: KERNEL32.IME
Nome del processo:
• SVCHOST.EXE
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• WinUpack
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Gabriel Mustata il Fri, 11 Aug 2006 16:14 (GMT+1)
Descrizione aggiornata da Gabriel Mustata il Mon, 28 Aug 2006 15:25 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce DR/Xbot.L
Stampa questa pagina
