English
Deutsch
Français
Español
Italiano
Home
Minacce
Worm/Hakaglan.B
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
Worm/Hakaglan.B - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
Worm/Hakaglan.B
Scoperto:
05/04/2007
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Medio
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
268.216 Byte
Somma di controllo MD5:
0D94f594bca6d09ab3423b962da0e9df
Versione IVDF:
6.38.00.184
Generale
Metodi di propagazione:
• Unità di rete mappata
• Messenger
Alias:
• Mcafee: Downloader-FL
• F-Secure: Worm.Win32.AutoIt.c
• Sophos: W32/SillyFDC-G
• Grisoft: Worm/Autoit.X
• Eset: Win32/Hakaglan.B
• Bitdefender: Win32.Worm.Sohanat.AB
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Abbassa le impostazioni di sicurezza
• Modifica del registro
• Accesso e controllo del computer da parte di terzi
File
Si copia alle seguenti posizioni:
•
%SYSDIR%
\RVHOST.exe
•
%WINDIR%
\RVHOST.exe
•
%unità disco%
\New Folder.exe
Viene creato il seguente file:
–
%WINDIR%
\tasks\At1.job Il file è un task pianificato che esegue il malware in certe ore predefinite.
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Yahoo Messengger =
%SYSDIR%
\RVHOST.exe
Vengono cambiate le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valore precedente:
• Shell = Explorer.exe
Nuovo valore:
• Shell = Explorer.exe RVHOST.exe
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
Nuovo valore:
• AtTaskMaxHours = 0
Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Nuovo valore:
• DisableTaskMgr = 1
• DisableRegistryTools = 1
Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Nuovo valore:
• NofolderOptions = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
Nuovo valore:
• shared = \\
%nome del computer%
\
%unità disco%
\New Folder.exe
Messenger
Si diffonde via Messenger. Le caratteristiche sono descritte sotto:
– Yahoo Messenger
A:
Tutti i contatti online nella lista dei contatti.
Messaggio
Il messaggio inviato è tipo il seguente:
•
%recuperato da internet%
I messaggi ricevuti possono apparire come i seguenti:
Backdoor
Contatta il server:
Tutti i seguenti:
• http://nhatquanglan2.0catch.com/**********
• http://nhatquanglan2.0catch.com/**********
• http://www.freewebs.com/nhattruongquang/**********
Come risultato viene fornita la capacità di controllare da remoto. La risposta dei server è scritta nel file:
%SYSDIR%
\settings.ini
Capacità di controllo remoto:
• Download di file
• Eseguire file
• Riferito allo spam
• Visitare un sito web
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Andrei Gherman il Fri, 14 Mar 2008 09:02 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Fri, 14 Mar 2008 10:00 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce Worm/Hakaglan.B
Stampa questa pagina
.gif)
