English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/Dldr.FraudLo.sxm
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/Dldr.FraudLo.sxm - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Dldr.FraudLo.sxm
Scoperto:
13/07/2009
Tipo:
Security Privacy Risk
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Basso
File statico:
No
Versione VDF:
7.01.04.223
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
• F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
• Eset: Win32/Kryptik.AAL
Piattaforma / Sistema operativo:
• Windows XP
Effetti secondari:
• Scarica file “maligni”
• Modifica del registro
Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:
File
Si copia alla seguente posizione:
• %program files%\HomeAntivirus2010\Uninstall.exe
Vengono creati i seguenti file:
– File “non maligni”:
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
• %program files%\HomeAntivirus2010\data\daily.cvd
• %program files%\HomeAntivirus2010\pthreadVC2.dll
• %program files%\HomeAntivirus2010\htmlayout.dll
•
%directory scelta casualmente%
\
%parole casuali%
– File ad uso temporaneo che possono essere cancellati in seguito:
• %tempdir%\prm
%numero%
• %tempdir%\wr
%numero%
• %tempdir%\clamav-%32 random hexa numbers%\daily.db
• %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
• %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
• %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
• %tempdir%\clamav-%32 random hexa numbers%\daily.fp
• %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
• %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
• %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
• %tempdir%\clamav-%32 random hexa numbers%\daily.info
– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Riconosciuto come: TR/Dldr.FraudLo.sxm
– %program files%\HomeAntivirus2010\AVEngn.dll Riconosciuto come: TR/Dldr.FraudLo.sxm
– %program files%\HomeAntivirus2010\wscui.cpl Riconosciuto come: TR/Dldr.FraudLo.sxm
– %systemdir%\_scui.cpl Riconosciuto come: TR/Dldr.FraudLo.sxm
Prova a scaricare dei file:
– La posizione è la seguente:
• http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Viene salvato in locale sotto:
%temporary internet files%
– La posizione è la seguente:
• http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Viene salvato in locale sotto:
%temporary internet files%
– La posizione è la seguente:
• http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Viene salvato in locale sotto:
%temporary internet files%
– La posizione è la seguente:
• http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Viene salvato in locale sotto:
%temporary internet files%
– La posizione è la seguente:
• http://user:************@bugermanosatora.com/files/BinariesSC.cab
Viene salvato in locale sotto:
%temporary internet files%
– La posizione è la seguente:
• http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Viene salvato in locale sotto:
%temporary internet files%
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Home Antivirus 2010"="\"
%PROGRAM FILES%
\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"
Vengono aggiunte le seguenti chiavi di registro:
– [HKCU\Control Panel\don't load]
• "scui.cpl"="No"
• "wscui.cpl"="No"
– [HKLM\SOFTWARE\HomeAntivirus2010]
• "info"="
%data corrente%
"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
HomeAntivirus2010]
• "DisplayName"="Home Antivirus 2010"
• "UninstallString"="
%PROGRAM FILES%
\HomeAntivirus2010\Uninstall.exe"
– [HKLM\SOFTWARE\Microsoft\Security Center]
Valore precedente:
• "FirewallDisableNotify"=dword:00000000
Nuovo valore:
• "FirewallDisableNotify"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Security Center]
Valore precedente:
• "UpdatesDisableNotify"=dword:00000000
Nuovo valore:
• "UpdatesDisableNotify"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Security Center]
Valore precedente:
• "AntiVirusDisableNotify"=dword:00000000
Nuovo valore:
• "AntiVirusDisableNotify"=dword:00000001
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Mihai Dilimot il Mon, 10 Aug 2009 13:05 (GMT+1)
Descrizione aggiornata da Mihai Dilimot il Tue, 11 Aug 2009 09:43 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
BDS/Inject.JA
Worm/VB.aki.2
TR/Agent.tvb
TR/Bagle.GE
BDS/Agent.zwa
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce TR/Dldr.FraudLo.sxm
Stampa questa pagina
.gif)
