TR/Fakealert.QE - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Fakealert.QE
Scoperto:	16/10/2008
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	No
Versione IVDF:	7.00.07.46

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: AntiVirus2009
   • Kaspersky: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   • F-Secure: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   • Panda: Adware/XPAntiSpyware2009
   • Grisoft: Downloader.Small.ELY

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file
   • Scarica file “maligni”

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Vengono creati i seguenti file:

– File “non maligni”:
   • %PROGRAM FILES%\XP_AntiSpyware\Uninstall.exe; %PROGRAM
      FILES%\XP_AntiSpyware\htmlayout.dll; %PROGRAM
      FILES%\XP_AntiSpyware\pthreadVC2.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\data\daily.cvd; %home%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk;
      %home%\Desktop\XP_AntiSpyware.lnk; %home%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk; %home%\Start
      Menu\Programs\XP_AntiSpyware\Uninstall.lnk

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\prm2
   • %TEMPDIR%\prm3

– %PROGRAM FILES%\XP_AntiSpyware\AVEngn.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Fakealert.QF

– %TEMPDIR%\Binaries1.cab2
– %TEMPDIR%\Binaries2.cab3
– %TEMPDIR%\Binaries3.cab4

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.xpas2009.com/**********/Binaries1.cab
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%stringa casuale di otto caratteri%\Binaries1[1].cab

– La posizione è la seguente:
   • http://www.xpas2009.com/**********/Binaries2.cab
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%stringa casuale di otto caratteri%\Binaries2[1].cab

– La posizione è la seguente:
   • http://www.xpas2009.com/**********/Binaries3.cab
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%stringa casuale di otto caratteri%\Binaries3[1].cab

Prova ad eseguire i seguenti file:

– Nome del file:
   • %PROGRAM FILES%\XP_AntiSpyware\XP_AntiSpyware.exe
In più contiene codice "maligno". Riconosciuto come: TR/Drop.Delf.Crypt.G.24

– Nome del file:
   • %PROGRAM FILES%\XP_AntiSpyware\wscui.cpl
In più contiene codice "maligno". Riconosciuto come: TR/Fakealert.QE

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andreas Feuerstein il Tue, 21 Oct 2008 10:22 (GMT+1)
Descrizione aggiornata da Andreas Feuerstein il Tue, 21 Oct 2008 15:09 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro