W32/Hidrag.a - Malware

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	W32/Hidrag.a
Scoperto:	13/04/2005
Tipo:	File Infector
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio-Basso
File statico:	No
Dimensione del file:	~ 36.352 Byte
Versione VDF:	6.30.00.93

Generale Metodo di propagazione:
   • Unità di rete mappata

Alias:
   • Symantec: W32.Jeefo
   • Mcafee: W32/Jeefo
   • Kaspersky: Virus.Win32.Hidrag.a
   • TrendMicro: PE_JEEFO.A
   • F-Secure: Virus.Win32.Hidrag.a
   • Sophos: W32/Jeefo-A
   • Grisoft: Win32/Hidrag.A
   • Eset: Win32/Jeefo.A
   • Bitdefender: Win32.Jeefo.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro

   Description

   W32/Hidrag.a is a non-dangerous memory resident virus that infects Win32 PE EXE files.

   The virus searches for files to infect and upon infection it encrypts part of the file.

   When an infected file is executed, it drops the first-generation infector in the Windows directory as svchost.exe, which is registered as "Power Manager" service (on Windows NT/2000/XP). The virus then executes the original file without manifesting itself in any way.

File Viene creato il seguente file:

– %WINDIR%\svchost.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Hidrag.a

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.exe"
   • "DisplayName"="Power Manager"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the power save features of the computer."

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
   • "0"="Root\\LEGACY_POWERMANAGER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Varie Mutex:
Crea il seguente Mutex:
• PowerManagerMutant

Stringa:
In più contiene la seguente stringa:
• Hidden Dragon virus. Born in a tropical swamp.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Tue, 03 Apr 2007 08:55 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Tue, 03 Apr 2007 10:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back