postato da blog.malwarelist.org [06/07/2011 18:06]
Il Trojan.Win32.Agent.DIK si presenta in modo fraudolento come un aggiornamento per il software di virtualizzazione VMWare con il nome wmprwise.exe
Informazioni Tecniche
Nome file:
wmprwise.exe
Dimensioni:
139.868 bytes
Nome originale:
VMUpgradeHelper.exe
Versione:
8.4.6.16648
Società:
VMWare, Inc (fasulla non è stato prodotto da VMWare)
Percorso di installazione:
%USERPROFILE%\Dati Applicazioni
Funzionamento
Il file una volta avviato si copia in %USERPROFILE%\Dati Applicazioni ma non va a modificare alcuna chiave del registro. Effettua però molte operazioni malevoli a livello di rete:
Si connette all'indirizzo IP 89.149.###.###(cliccare per maggiori informazioni su proprietario e indirizzo web) loggandosi con username e password.
Inizia poi a inviare spam verso alcune caselle di posta elettronica di domini noti come yahoo.com, gmail.com, hotmail.com, virgilio.it. Il mittente cambia durante i successivi invii passando per alcuni domini come wow-europe.com, stainlessgames.com, 64bitsupport.com, qa.com, introversion.co.uk, game-era.com. Il contenuto della mail è una pagina html con un link a un sito porno.
NOTE:
%USERPROFILE% = C:\Documents and Settings\{username}