Avira Virus Lab

Worm/Nuqel.655360

  • Nome
    Worm/Nuqel.655360
  • Scoperto
    04/gen/2011
  • Tipo
    Malware
  • Impatto
    Livello elevato 
  • Infezioni segnalate
    Livello basso 
  • Sistema operativo
    Windows
  • Versione VDF
    7.11.01.25 (2011-01-04 16:11)

Con il termine 'WORM' si intende un worm in grado di diffondersi autonomamente, ad esempio tramite Internet (invio di mail, reti peer-to-peer, reti IRC, ecc.) o tramite l’Intranet.

  • VDF
    7.11.01.25 (2011-01-04 16:11)
  • File
    Sono state create le seguenti copie dello stesso file:
    • %SYSDIR%\scvhost.exe
    • %WINDIR%\hinhem.scr
    • %WINDIR%\scvhost.exe
    • %SYSDIR%\blastclnnn.exe
    Sono stati creati i seguenti file:
    • %WINDIR%\Tasks\At1.job
    • %SYSDIR%\autorun.ini
    • %SYSDIR%\setting.ini
    Sono stati modificati i seguenti file:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %SYSDIR%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
  • Iniezioni
    • %WINDIR%\System32\svchost.exe{<-\ThemeApiPort}
    • %SYSDIR%\services.exe{<-\RPC Control\ntsvcs}
    • %SYSDIR%\lsass.exe{<-\RPC Control\protected_storage}
    • %SYSDIR%\lsass.exe{<-\LsaAuthenticationPort}
    • %SYSDIR%\svchost.exe{<-\RPC Control\DNSResolver}
  • Registro
    Vengono cambiate le seguenti entità di registro:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe scvhost.exe"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule] "NextAtJobId" = dword:00000002
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed" = dword:0000000f "TracesSuccessful" = dword:0000000a "LastTraceFailure" = dword:00000004
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "GlobalUserOffline" = dword:00000000 "MigrateProxy" = dword:00000001 "ProxyEnable" = dword:00000000 ProxyServer = - ProxyOverride = - AutoConfigURL = -
    Vengono aggiunte le seguenti entità di registro:
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Yahoo Messengger" = "%SYSDIR%\scvhost.exe"
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NofolderOptions" = dword:00000001
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = dword:00000001 "DisableRegistryTools" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule] "AtTaskMaxHours" = dword:00000000
    • [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings] "ProxyEnable" = dword:00000000
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares] "shared" = "\New Folder.exe"

Aiutaci a rendere il web più sicuro: inviaci i file/URL sospetti da analizzare.

Invia il tuo file/URL oppure Vai ad Avira Answers

Perché inviare un file sospetto?

Se ti imbatti in un file o sito Web sospetto che non è presente nel nostro database, lo analizzeremo per stabilire se è dannoso. I risultati saranno quindi distribuiti ai milioni di nostri utenti non appena eseguiranno l'aggiornamento del database dei virus. Se utilizzi Avira, anche tu riceverai l'aggiornamento. Non avete Avira? Scaricalo dalla nostra home page.

Che cos'è Avira Answers?

È la nostra fiorente comunità di tecnici professionisti ed esperti part-time che collaborano per risolvere i problemi tecnici. È il luogo ideale per porre le tue domande a una comunità di altri utenti Avira.