//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
//start foreach
简体中文
Home
Minacce
DR/Sohanad.BM.157
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistiche
Phishing Worldmap
VDF History
Virus Science
Submit Sample
News sulla sicurezza
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
DR/Sohanad.BM.157 - Dropper
Vedi anche
In breve
Descrizione completa
Statistiche
Come valuti questa informazione?
Inutile
Eccellente
Nome del virus:
DR/Sohanad.BM.157
Scoperto:
30/09/2009
Tipo:
Trojan
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Medio-Basso
Potenziale di propagazione:
Medio-Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
529.920 Byte
Somma di controllo MD5:
ec80ba08fe2710d8ab5ad280f1b37137
Versione IVDF:
7.01.06.59
Generale
Alias:
• Mcafee: W32/YahLover.worm
• Sophos: W32/SillyFDC-G
• Panda: W32/Hakaglan.A.worm
• Eset: Win32/Hakaglan.AH
• Bitdefender: Trojan.AutoIt.TD
Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file “maligni”
• Duplica file “maligni”
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%WINDIR%
\RVHOST.exe
•
%SYSDIR%
\RVHOST.exe
Viene creato il seguente file:
–
%WINDIR%
\Tasks\At1.job
Prova a scaricare dei file:
– La posizione è la seguente:
• http://nhatquanglan2.0catch.com/**********
Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://www.freewebs.com/nhattruongquang/**********
Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://nhatquanglan2.0catch.com/**********
Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://www.freewebs.com/nhattruongquang/**********
Al momento dell'analisi questo file non era più disponibile.
Registro
Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Yahoo Messengger"="
%SYSDIR%
\RVHOST.exe"
Viene aggiunta la seguente chiave di registro:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegistryTools"=dword:0x00000001
• "DisableTaskMgr"=dword:0x00000001
Vengono cambiate le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Nuovo valore:
• "Shell"="Explorer.exe RVHOST.exe"
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
Nuovo valore:
• "AtTaskMaxHours"=dword:0x00000000
• "NextAtJobId"=dword:0x00000003
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Nuovo valore:
• "NofolderOptions"=dword:0x00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
Nuovo valore:
• "GlobalUserOffline"=dword:0x00000000
Processi terminati
Il seguente processo viene terminato:
• taskmgr.exe
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Petre Galan il Fri, 05 Feb 2010 12:30 (GMT+1)
Descrizione aggiornata da Petre Galan il Fri, 05 Feb 2010 12:34 (GMT+1)
»
Informazioni sul malware
»
Informazioni sul phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
HEUR/HTML.Malware
TR/Crypt.XPACK.Gen2
HTML/Crypted.Gen
W32/Sality.Y
ADSPY/AdSpy.Gen2
TR/Dldr.Agent.eckq
TR/PSW.Zbot.130048.Y
TR/Dldr.CodecPack.mhf
TR/FakeAV.LBQ
TR/KillAV.HP.1
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2010 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce DR/Sohanad.BM.157
Stampa questa pagina
.gif)
