English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/PSW.Onlineg.ALZR
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/PSW.Onlineg.ALZR - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/PSW.Onlineg.ALZR
Scoperto:
05/03/2009
Tipo:
Trojan
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Medio
Potenziale di propagazione:
Medio
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
168.420 Byte
Somma di controllo MD5:
42438a0F0D9501bf1370287ff4b451bd
Versione IVDF:
7.01.02.122
Generale
Alias:
• Symantec: Infostealer.Gampass
• Mcafee: Generic PWS.ak trojan !!!
• Kaspersky: Trojan.Win32.Agent2.eij
• Sophos: Mal/EncPk-HI
• Panda: W32/Lineage.KYR
• Eset: Win32/PSW.OnLineGames.NMY
• Bitdefender: Trojan.PWS.OnLineGames.KCND
Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file “maligni”
• Duplica file “maligni”
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%unità disco%
\d8k6hg.com
•
%SYSDIR%
\kva8wr.exe
Sovrascrive un file.
–
%SYSDIR%
\drivers\cdaudio.sys
Cancella la copia di se stesso eseguita inizialmente.
Cancella il seguente file:
•
%SYSDIR%
\drivers\cdaudio.sys
Vengono creati i seguenti file:
–
%unità disco%
\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
•
–
%unità disco%
\gjnfah.cmd (176444) Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.ZPACK.Gen
–
%SYSDIR%
\ahnsbsb.exe (176444) Riconosciuto come: TR/Crypt.ZPACK.Gen
–
%SYSDIR%
\bgotrtu0.dll (73728) Riconosciuto come: TR/PSW.OnLin.ALZR.1
–
%SYSDIR%
\ahnfgss0.dll (88576) Riconosciuto come: TR/Crypt.ZPACK.Gen
–
%SYSDIR%
\uweyiwe0.dll (97280) Riconosciuto come: TR/Crypt.XPACK.Gen
–
%SYSDIR%
\ahnxsds0.dll (81920) Riconosciuto come: TR/Crypt.ZPACK.Gen
Prova a scaricare dei file:
– La posizione è la seguente:
• http://yklop.com/xhg2/**********
Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
– La posizione è la seguente:
• http://kioytrfd.com/xhg2/**********
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
• "Start"=dword:0x3
• "Type"=dword:0x1
• "ImagePath"="\??\
%SYSDIR%
\drivers\cdaudio.sys"
• "DisplayName"="AVPsys"
• "ErrorControl"=dword:0x1
Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "ahnsoft"="
%SYSDIR%
\ahnsbsb.exe"
• "kvasoft"="
%SYSDIR%
\kva8wr.exe"
Registra un “browser helper object” (BHO) aggiungendo le seguenti chiavi:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{238C32AB-955D-4707-AAB9-C9B3AB8D4225}]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}]
Vengono aggiunte le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Classes\CLSID\MNDOWN]
• "urlinfo"="m1chgt.e"
– [HKLM\SOFTWARE\Classes\CLSID\
{238C32AB-955D-4707-AAB9-C9B3AB8D4225}]
• "(default)"="IEHlprObj Class"
– [HKLM\SOFTWARE\Classes\CLSID\{238C32AB-955D-4707-AAB9-C9B3AB8D4225}\
InprocServer32]
• "ThreadingModel"="Apartment"
• "(default)"="
%SYSDIR%
\ahnxsds0.dll"
– [HKLM\SOFTWARE\Classes\CLSID\{238C32AB-955D-4707-AAB9-C9B3AB8D4225}\
ProgID]
• "(default)"="IEHlprObj.IEHlprObj.1"
– [HKLM\SOFTWARE\Classes\Interface\
{238C32AC-955D-4707-AAB9-C9B3AB8D4225}]
• @="IIEHlprObj"
– [HKLM\SOFTWARE\Classes\Interface\
{238C32AC-955D-4707-AAB9-C9B3AB8D4225}\ProxyStubClsid]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKLM\SOFTWARE\Classes\Interface\
{238C32AC-955D-4707-AAB9-C9B3AB8D4225}\ProxyStubClsid32]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKLM\SOFTWARE\Classes\Interface\
{238C32AC-955D-4707-AAB9-C9B3AB8D4225}\TypeLib]
• "Version"="1.0"
• @="{238C32A2-955D-4707-AAB9-C9B3AB8D4225}"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}]
• @="IIEHlprObj"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\ProxyStubClsid]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\ProxyStubClsid32]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKLM\SOFTWARE\Classes\Interface\
{238C32AC-955D-4707-AAB9-C9B3AB8D4225}\TypeLib]
• Version"="1.0"
• @="{238C32A2-955D-4707-AAB9-C9B3AB8D4225}"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}]
• @="IIEHlprObj"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\ProxyStubClsid]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\ProxyStubClsid32]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKLM\SOFTWARE\Classes\Interface\
{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\TypeLib]
• "Version"="1.0"
• @="{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}"
– [HKLM\SOFTWARE\Classes\TypeLib\
{238C32A2-955D-4707-AAB9-C9B3AB8D4225}\1.0]
• @="IEHelper 1.0 Type Library"
– [HKLM\SOFTWARE\Classes\TypeLib\
{238C32A2-955D-4707-AAB9-C9B3AB8D4225}\1.0\0\win32]
• @="
%SYSDIR%
\ahnxsds0.dll"
– [HKLM\SOFTWARE\Classes\TypeLib\
{238C32A2-955D-4707-AAB9-C9B3AB8D4225}\1.0\FLAGS]
• @="0"
– [HKLM\SOFTWARE\Classes\TypeLib\
{238C32A2-955D-4707-AAB9-C9B3AB8D4225}\1.0\HELPDIR]
• @="
%SYSDIR%
\"
– [HKLM\SOFTWARE\Classes\TypeLib\
{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0]
• @="IEHelper 1.0 Type Library"
– [HKLM\SOFTWARE\Classes\TypeLib\
{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0\0\win32]
• @="
%SYSDIR%
\bgotrtu0.dll"
– [HKLM\SOFTWARE\Classes\TypeLib\
{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0\FLAGS]
• @="0"
– [HKLM\SOFTWARE\Classes\TypeLib\
{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0\HELPDIR]
• @="
%SYSDIR%
\"
Vengono cambiate le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Nuovo valore:
• "CheckedValue"=dword:0x0
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Nuovo valore:
• "Hidden"=dword:0x2
• "ShowSuperHidden"=dword:0x0
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo:
%SYSDIR%
\ahnfgss0.dll
Nome del processo:
•
%tutti i processi in esecuzione%
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Petre Galan il Mon, 19 Oct 2009 13:47 (GMT+1)
Descrizione aggiornata da Petre Galan il Mon, 19 Oct 2009 13:50 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce TR/PSW.Onlineg.ALZR
Stampa questa pagina
.gif)
