Worm.Autorun.VHG







Relazione sintetica.

Presentazione dettagli:
Presentazione ricevute: 18 agosto 2010, 20:03:51
Tempo di elaborazione: 7 min 43 sec
Inviato campione:
File MD5: 0x1D5FAD8636788D69E03324493FC1D985
File SHA-1: 0x3C6108B2DE90721995A40E9043CDE27187E9ABE0
Dimensioni: 118,784 bytes

Alias:
Backdoor.IRCBot! Sd6 [PCTools]
W32.IRCBot [Symantec]
Worm.Win32.AutoRun.vhg [Kaspersky Lab]
W32/Sdbot.worm.gen.ay [McAfee]
WORM_HAMWEQ.BU [Trend Micro]
W32/SdBot-DOE [Sophos]
Worm: Win32/Hamweq.A [Microsoft]
Worm.Win32.AutoRun [Ikarus]
Win32/Autorun.worm.118784.B [AhnLab]

Sintesi dei risultati:
Livello di gravità: basso
Comunicaz con un server remoto IRC.
Crea una voce di registro di avvio.

Descrizione
Un cavallo di Troia dannoso o bot che possono rappresentare rischi per la sicurezza dell sistema compromesso e / o il suo ambiente di rete. Un worm di rete-aware che tenta di replicarsi in tutta la rete esistente (s)

Modifiche al File System.
I seguenti file sono stati creati nel sistema:
# Nome del file (s)

c: \ SYSTEM \ S-1-5-21-1482476501-1644491937-682003330-1013 \ Desktop.ini

c: \ SYSTEM \ S-1-5-21-1482476501-1644491937-682003330-1013 \ System32.exe
[File e il percorso del campione # 1]

Le seguenti directory sono state create:
c: \ SYSTEM
c: \ SYSTEM \ S-1-5-21-1482476501-1644491937-682003330-1013

Le modifiche del Registro di sistema
La seguente chiave di registro è stato creata:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ {28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}

La recente creazione del Registro di sistema valore è:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ {28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
StubPath = "C: \ SYSTEM \ S-1-5-21-1482476501-1644491937-682003330-1013 \ System32.exe"

in modo che system32.exe viene eseguito ogni volta all'avvio di Windows

Altri dettagli
Ci è stato registrato il tentativo di stabilire la connessione con l'host remoto. I dettagli della connessione sono i seguenti:

Host remoto  
74.117.174.3

Numero di porta
1863

Fonte: Threatexpert
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)