TR / SpamBot.E







Nome del virus: TR/SpamBot.E
Scoperto: 19/07/2010
Tipo: Trojan
In circolazione (ITW): Si
Numero delle infezioni segnalate: Medio-Basso
Potenziale di propagazione: Medio
Potenziale di danni: Medio
File statico: Si
Dimensione del file: 55.808 Byte
Somma di controllo MD5: 64ce27a4edc375f5dcb68b8641738f34
Versione IVDF: 7.10.09.151

Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione

Alias:
• Mcafee: Spam-Mailbot.m
• Sophos: Mal/FakeAV-CZ
• Microsoft: Spammer:Win32/Tedroo
• Panda: Bck/Bredolab.AZ
• DrWeb: Trojan.Spambot.6788

Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7

Effetti secondari:
• Modifica del registro
• Utilizza un proprio motore SMTP per l'invio di email

Registro
Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
• "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
• "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• "userini"="%WINDIR%\explorer.exe:userini.exe"

Varie opzioni di Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
Nuovo valore:
• "id"="F15ECF88A2EC"
• "remove"="%file eseguiti%"

Email
Contiene un motore SMTP integrato per inviare spam. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.

A:
– Indirizzi generati

Oggetto:
Il seguente:
• %indirizzo email del ricevente% VIAGRA ® Official Site -45%

Corpo dell'email:
– Contiene codice HTML.

Backdoor
Contatta il server:
Il seguente:
• http://19**********3.62/82567/kelly.php

Come risultato viene fornita la capacità di controllare da remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Capacità di controllo remoto:
• Inviare email
• Riferito allo spam

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Patrick Schoenherr il Thu, 22 Jul 2010 09:12 (GMT+1)
Descrizione aggiornata da Patrick Schoenherr il Thu, 22 Jul 2010 10:44 (GMT+1)

Fonte: http://www.avira.com/it/threats/
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)