Nome del virus:TR/PSW.ZGQ.8
Scoperto:07/01/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:61.952 Byte
Somma di controllo MD5:823fc556696c639314459a2022abfd99
Versione IVDF:7.10.02.127 - mercoledì 6 gennaio 2010

 Generale Alias:
   •  Panda: W32/IRCbot.CWO
   •  Eset: Win32/IRCBot.NBC
   •  Bitdefender: Backdoor.IRCBot.ACZC


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\alrsvcf.exe
   • %SYSDIR%\asctrlsf.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %SYSDIR%\activedsk.exe



Vengono creati i seguenti file:

%SYSDIR%\3076z.exe
%SYSDIR%\2648628310.dat
%SYSDIR%\activedsk.exe



Prova a scaricare un file:

– La posizione è la seguente:
   • http://nolohing.net/v44/**********




Prova ad eseguire i seguenti file:

– Nome del file:
   • %SYSDIR%\3076z.exe;%numero%;%directory di esecuzione del malware%\%file eseguiti%


– Nome del file:
   • svchost.exe "%SYSDIR%\3076z.exe"

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSSDPSRV]
   • "DisplayName"="Windows Management Instrumentation Driver Extensions WmiSSDPSRV"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SYSDIR%\3076z.exe srv"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SECURITY\Policy\Secrets\SAC\CupdTime]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\CupdTime]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAC\OldVal]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\OupdTime]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\CurrVal]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAC\CurrVal]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\OldVal]
   Nuovo valore:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAC\OupdTime]
   Nuovo valore:
   • "@"=""

 Backdoor Viene aperta la seguente porta:

– M-SEARCH * HTTP/1.1 239.255.255.250 MAN: "ssdp:discover" sulla porta UDP 1900

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

설명 삽입자 Petre Galan   2010년 5월 25일 화요일
설명 업데이트 Petre Galan   2010년 5월 25일 화요일

뒤로 . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

내 계정

https:// 이 창은 보안을 위해 암호화되었습니다.