Avira Virus Lab

TR/ATRAPS.A.1732

  • Nome
    TR/ATRAPS.A.1732
  • Scoperto
    06/ott/2015
  • Tipo
    Malware
  • Impatto
    Livello medio 
  • Infezioni segnalate
    Livello basso 
  • Sistema operativo
    Windows
  • Versione VDF
    7.11.148.146 (2014-05-09 12:17)

Con il termine 'TR' si intende un trojan che è in grado di scoprire dati personali, violare la privacy dell’utente ed effettuare modifiche indesiderate al sistema.

  • VDF
    7.11.148.146 (2014-05-09 12:17)
  • Aliases
    Avast: Win32:ServStart-C
    AVG: Generic36.AQXR
    ClamAV: WIN.Trojan.Agent-15214
    Dr. Web: Trojan.KillProc.12769
    F-PROT: W32/Agent.OZ.gen!Eldorado (generic, not disinfectable)
    McAfee: GenericR-ECB!01A5B5DE64A6
    Trend Micro: TROJ_VSTART.SMA
    Microsoft: DDoS:Win32/Nitol.A
    G Data: Trojan.Generic.6278340
    Kaspersky Lab: HEUR:Trojan.Win32.Generic
    Bitdefender: Trojan.Generic.6278340
    ESET: Win32/ServStart.AM trojan
  • File
    Sono stati creati i seguenti file:
    • %SYSDIR%\gkwikm.exe
    • %SYSDIR%\hra33.dll
    Sono stati rinominati i seguenti file:
    • %TEMPDIR%\hrl80.tmp
    • %DISKDRIVE%\RCX81.tmp
    Sono stati eliminati i seguenti file:
    • %SYSDIR%\hra33.dll
    Sono state create le seguenti copie dello stesso file:
    • %DISKDRIVE%\RCX81.tmp
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Reader\9.2\ARM\lpk.dll
    • %TEMPDIR%\Microsoft .NET Framework 4 Setup_4.0.30319\lpk.dll
    • %TEMPDIR%\lpk.dll
    • %TEMPDIR%\{62198C42-974B-4F90-9AD2-12763AB58C97}~setup\lpk.dll
    • %temporary internet files%\Content.IE5\5KMEPSXE\lpk.dll
    • %temporary internet files%\Content.IE5\LV2JIAKP\lpk.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\lpk.dll
    • %DISKDRIVE%\hips\lpk.dll
    • %DISKDRIVE%\incoming\lpk.dll
    • %DISKDRIVE%\lpk.dll
    • %PROGRAM FILES%\Adobe\Reader 9.0\Reader\lpk.dll
    • %PROGRAM FILES%\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1033-7B44-A92000000001}\lpk.dll
    • %PROGRAM FILES%\Common Files\Adobe\ARM\1.0\lpk.dll
    • %PROGRAM FILES%\Common Files\Adobe\Updater6\lpk.dll
    • %PROGRAM FILES%\Common Files\Java\Java Update\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\Speech\lpk.dll
    • %PROGRAM FILES%\FileZilla Server\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\Connection Wizard\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\lpk.dll
    • %PROGRAM FILES%\Java\jre6\bin\lpk.dll
    • %PROGRAM FILES%\Messenger\lpk.dll
    • %PROGRAM FILES%\Movie Maker\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\uninstall\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\MSN9Components\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\lpk.dll
    • %PROGRAM FILES%\MSN Gaming Zone\Windows\lpk.dll
    • %PROGRAM FILES%\NetMeeting\lpk.dll
    • %PROGRAM FILES%\Outlook Express\lpk.dll
    • %PROGRAM FILES%\VMware\VMware Tools\lpk.dll
    • %PROGRAM FILES%\Windows Media Player\lpk.dll
    • %PROGRAM FILES%\Windows NT\Accessories\lpk.dll
    • %PROGRAM FILES%\Windows NT\lpk.dll
    • %PROGRAM FILES%\Windows NT\Pinball\lpk.dll
    • %PROGRAM FILES%\WinPcap\lpk.dll
    • %DISKDRIVE%\totalcmd\lpk.dll
    • %WINDIR%\assembly\GAC_MSIL\PresentationFontCache\3.0.0.0__31bf3856ad364e35\lpk.dll
    Sono stati modificati i seguenti file:
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    • %DISKDRIVE%\Documents and Settings\LocalService\Cookies\index.dat
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
  • Registro
    Vengono aggiunte le seguenti entità di registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalaww ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000000; "ImagePath": "%SYSDIR%\gkwikm.exe"; "DisplayName": "Nationaltka Instruments Domain Service"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalaww\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NATIONALAWW ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NATIONALAWW\0000 ("Service": "Nationalaww"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "Nationaltka Instruments Domain Service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NATIONALAWW\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "Nationalaww")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalaww\Enum ("0": "Root\LEGACY_NATIONALAWW\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalaww ("Description": "Providesarn a domain server for NI security.")
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections ("SavedLegacySettings": %hex values%)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    Vengono cambiate le seguenti entità di registro:
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("UNCAsIntranet": dword:00000001)

Aiutaci a rendere il web più sicuro: inviaci i file/URL sospetti da analizzare.

Invia il tuo file/URL oppure Vai ad Avira Answers

Perché inviare un file sospetto?

Se ti imbatti in un file o sito Web sospetto che non è presente nel nostro database, lo analizzeremo per stabilire se è dannoso. I risultati saranno quindi distribuiti ai milioni di nostri utenti non appena eseguiranno l'aggiornamento del database dei virus. Se utilizzi Avira, anche tu riceverai l'aggiornamento. Non avete Avira? Scaricalo dalla nostra home page.

Che cos'è Avira Answers?

È la nostra fiorente comunità di tecnici professionisti ed esperti part-time che collaborano per risolvere i problemi tecnici. È il luogo ideale per porre le tue domande a una comunità di altri utenti Avira.