TR/PSW.Magania.aul - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/PSW.Magania.aul
Scoperto:	06/02/2009
Tipo:	Application (it)
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	106.952 Byte
Somma di controllo MD5:	26ed45d881869e9543441442e001e3cb
Versione IVDF:	7.01.01.239

Generale Alias:
   • Symantec: Infostealer.Gampass
   • Mcafee: Generic PWS.ak trojan !!!
   • Kaspersky: Trojan-Dropper.Win32.Agent.ahyp
   • Sophos: Troj/Agent-JBE
   • Panda: W32/Lineage.KYR
   • Eset: Win32/PSW.OnLineGames.NMY
   • Bitdefender: Trojan.PWS.OnlineGames.KBPP

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %unità disco%\gxul.com
   • %SYSDIR%\uret463.exe

Sovrascrive un file.
– %SYSDIR%\drivers\cdaudio.sys

Cancella la copia di se stesso eseguita inizialmente.

Cancella il seguente file:
   • %SYSDIR%\drivers\cdaudio.sys

Vengono creati i seguenti file:

– %unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

– %SYSDIR%\lhgjyit0.dll (129536) Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Krap.399349

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://dsews.com/xjj/**********
Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://iytgfvcxs.com/xjj/**********

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Start"=dword:0x3
   • "Type"=dword:0x1
   • "ImagePath"="\??\%SYSDIR%\drivers\cdaudio.sys"
   • "DisplayName"="AVPsys"
   • "ErrorControl"=dword:0x1

Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dorfgwe"="%SYSDIR%\uret463.exe"

Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="eftsdr.h"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:0x2
   • "ShowSuperHidden"=dword:0x0

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\lhgjyit0.dll

Nome del processo:
• %tutti i processi in esecuzione%

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Petre Galan il Mon, 19 Oct 2009 14:34 (GMT+1)
Descrizione aggiornata da Petre Galan il Mon, 19 Oct 2009 14:36 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro