English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/AgentMB.PEHAB9080094.1
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/AgentMB.PEHAB9080094.1 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/AgentMB.PEHAB9080094.1
Scoperto:
27/11/2008
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Basso
File statico:
Si
Versione IVDF:
7.01.00.149
Generale
Alias:
• Symantec: W32.Harakit
• Mcafee: W32/Autorun.worm.cj
• Panda: W32/Autoit.BT
• Grisoft: Worm/Autoit.GTF
• Eset: Win32/Autoit.FO
• Bitdefender: Trojan.AgentMB.PEHAB9080094
Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica file
• Modifica del registro
File
Si copia alla seguente posizione:
•
%WINDIR%
\system32 \csrcs.exe
Cancella la copia di se stesso eseguita inizialmente.
Viene creato il seguente file:
–
%SYSDIR%
\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
•
–
%TEMPDIR%
\suicide.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
Prova ad eseguire il seguente file:
– Nome del file:
•
%TEMPDIR%
\suicide.bat
Questo file automatico è utilizzato per cancellare un file.
Registro
Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
• "Shell"="Explorer.exe csrcs.exe"
I valori della seguente chiave di registro vengono rimossi:
– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
• "ProxyServer"
• "ProxyOverride"
• "AutoConfigURL"
Vengono aggiunte le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\DRM\amty]
• "ilop"="1"
• "exp1"="408406541BC5BBE4DC197A2A0C46B9AFF2F90D96B151D7C7BCBD177741EE95F062E634D70EB70FB65FC8FBF0EC312619"
• "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
• "fix"=""
• "fix1"="1"
• "regexp"="-0.215134707364621"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• "csrcs"="
%SYSDIR%
\csrcs.exe"
Vengono cambiate le seguenti chiavi di registro:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Nuovo valore:
• "SuperHidden"=dword:00000000
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Nuovo valore:
• "CheckedValue"=dword:00000001
Varie
Anti debugging
Se riuscito visualizza il seguente e viene terminato immediatamente:
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Petre Galan il Fri, 03 Jul 2009 11:36 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Mon, 17 Aug 2009 15:40 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce TR/AgentMB.PEHAB9080094.1
Stampa questa pagina
.gif)
