Full description

Nume:	TR/Vilsel.iop
Descoperit pe data de:	15/10/2009
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	21.504 Bytes
MD5:	7d96ce7f588613f0343049918de70665
Versiune IVDF:	7.01.06.111 - quinta-feira, 15 de outubro de 2009

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: FakeAlert-AB.dldr
   • Kaspersky: Trojan.Win32.Vilsel.iop
   • F-Secure: Trojan-Downloader:W32/Fakerean.Y
   • Eset: Win32/Kryptik.AUZ
   • Bitdefender: Trojan.Downloader.FakeAlert.DH

Detectii similare:
   • TR/Vilsel.ioq

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
Raporteaza probleme de sistem sau infectii malware inexistente si se ofera sa le repare daca utilizatorul cumpara aplicatia.

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarele locatii:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe

Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://tsarbunerkadosa.com/x**********
Fisierul este stocat pe hard disc la: %home%\Application Data\lizkavd.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.XPACK.Gen

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"

Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Noua valoare:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Reduce setarile de securitate din Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Vechea valoare:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Noua valoare:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:

De la:
Adresa este falsificata.

Subiect:
Urmatorul:
   • A new settings file %adresa destinatarului% has just been
      released

Corpul email-ului:
Corpul email-ului este:

   • Dear user of the %domeniul destinatarului% mailing service!

     We are informing you that because of the security upgrade of the mailing
     service your mailbox %adresa destinatarului% settings were changed. In order to
     apply the new set of settings open zip attached file.

     Best regards, %domeniul destinatarului% Technical Support.

Atasament:
Numele fisierului atasat este urmatorul:
   • install.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

Email-ul arata astfel:

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em quinta-feira, 15 de outubro de 2009
Descrição atualizada por Thomas Wegele em quinta-feira, 15 de outubro de 2009

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas