English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/PSW.Papras.JN
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/PSW.Papras.JN - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/PSW.Papras.JN
Scoperto:
27/03/2009
Tipo:
Trojan
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
66.048 Byte
Somma di controllo MD5:
8c00c01185fd4cb20d8a91b307e7e39f
Versione IVDF:
7.01.02.228
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Symantec: Infostealer.Snifula.C
• Kaspersky: Trojan-PSW.Win32.Papras.jn
• F-Secure: Trojan-PSW.Win32.Papras.jn
• Sophos: Troj/Zbot-BS
• Eset: Win32/PSW.Papras trojan
• Bitdefender: Trojan.Inject.UD
Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica un file
• Clona un file “maligno”
• Modifica del registro
• Sottrae informazioni
File
Si copia alla seguente posizione:
•
%WINDIR%
\9129837.exe
Prova ad eseguire i seguenti file:
– Nome del file:
•
%WINDIR%
\new_drv.sys
Utilizzato per nascondere il processo dal Task Manager. Riconosciuto come:
TR/Rootkit.Gen
– Nome del file:
•
%directory di esecuzione del malware%
\abcdefg.bat
Questo file automatico è utilizzato per cancellare un file.
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "ttool"="
%WINDIR%
\\9129837.exe"
Viene aggiunta la seguente chiave di registro:
– [HKCU\Software\Microsoft\InetData]
• "k1"=dword:
%valori esadecimali%
• "k2"=dword:
%valori esadecimali%
• "version"="5"
Backdoor
Viene aperta la seguente porta:
su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.
Contatta il server:
Il seguente:
• http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=
%numero%
&version_id=5&passphrase=
%stringa di caratteri casuale%
&socks=
%porta aperta%
&version=
&crc=00000000
Come risultato viene fornita la capacità di controllare da remoto.
Invia informazioni riguardanti:
• Hardware
• Porta aperta
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Andreas Feuerstein il Wed, 08 Apr 2009 12:36 (GMT+1)
Descrizione aggiornata da Andreas Feuerstein il Wed, 08 Apr 2009 13:28 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce 
Stampa questa pagina
.gif)
