Atom Feed RSS Feed

Il mio profilo

My Photo
Name: blog
Location:

RICERCA

VirIT eXplorer Antivirus

Calendario

Ultimi Commenti

Archivio

Conta visite

Trojan.Win32.Agent.DIF

postato da blog.malwarelist.org [30/06/2011 15:51]

Il trojan analizzato, dal nome ac32.exe, si comporta in modo molto malevolo configurandosi in esecuzione automatica e consumando quasi tutte le risorse di processore e memoria rallentando notevolmente l'uso del pc.

 

Informazioni Tecniche

 Nome file:
 ac32.exe
 Dimensioni: 85.504 bytes
 Percorso di installazione: %SYSTEMROOT%\System32
 Chiavi di registro modificate: HKLM\Software\Microsoft\Windows\CurrentVersion\Run    [ac32] = %SYSTEMROOT%\System32\ac32.exe

 

Funzionamento

Una volta avviato il file malevolo, si copia in C:\Windows\System32 e modifica il registro configurandosi in esecuzione automatica. Il trojan effettua anche altre operazioni malevoli:

A livello di File System:

  • Crea su %TEMP% due file: il primo ac32_co.txt non contiene nulla di rilevante il secondo invece ac32.bat contiene uno script il quale consente al trojan di eseguire un invio continuo di pacchetti verso la scheda di rete interna del pc, consente la continua chiusura e riapertura di un nuovo processo ac32.exe e, in caso di apertura di ac32.bat, la sua automatica eliminazione.

A livello di rete:

  • Si connette al seguente indirizzo IP: 64.111.###.### (cliccare per maggiori informazioni sul proprietario) ed effettua del traffico HTTP_GET cercando di fare il download del file 472.jpg.

Il trojan risulta presente tra le applicazioni attive con il nome "BrowseIt" ed è veramente impossibile terminarlo dal  Task Manager di Windows perchè il processo si chiude e si apre in continuazione senza sosta.

    

     NOTE:

     %SYSTEMROOT% = C:\Windows

     %TEMP% = C:\Documents and Settings\{username}\Impostazioni Locali\Temp\

     HKLM = HKEY_LOCAL_MACHINE


Rimozione: VirIT 6.9.35 - www.tgsoft.it