Adware.Win32.EZula.Ehur








Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%directory di esecuzione del malware%\%file eseguiti% \service"
• "DisplayName"="DomainService"
• "ObjectName"="LocalSystem"
• "FailureActions"= %valori esadecimali%
• "Description"="DomainService"

Il valore della seguente chiave di registro viene rimosso:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• DDC

Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "%directory di esecuzione del malware%\\%file
eseguiti%"="%directory di esecuzione del malware%\\%file
eseguiti%:"

Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\DomainService]

Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valore precedente:
• "SFCDisable" = 0
Nuovo valore:
• "SFCDisable" = 4

Backdoor
Contatta il server:
Tutti i seguenti:
• http://24.244.141.185/**********/install.php
• http://24.244.141.185/**********/heartbeat.php

Invia informazioni riguardanti:
• Stato corrente del malware

Capacità di controllo remoto:
• Download di file
• Visitare un sito web

Fonte: Avira

Nessun commento:

Posta un commento