Atom Feed RSS Feed

Il mio profilo

My Photo
Name: blog
Location:

RICERCA

VirIT eXplorer Antivirus

Calendario

Ultimi Commenti

Archivio

Conta visite

Trojan.Win32.Agent.DIK

postato da blog.malwarelist.org [06/07/2011 18:06]

Il Trojan.Win32.Agent.DIK si presenta in modo fraudolento come un aggiornamento per il software di virtualizzazione VMWare con il nome wmprwise.exe

 

Informazioni Tecniche

 

 Nome file:
 wmprwise.exe
 Dimensioni: 139.868 bytes
 Nome originale:
 VMUpgradeHelper.exe
 Versione: 8.4.6.16648
 Società: VMWare, Inc (fasulla non è stato prodotto da VMWare)
 Percorso di installazione:
 %USERPROFILE%\Dati Applicazioni

 

Funzionamento

Il file una volta avviato si copia in %USERPROFILE%\Dati Applicazioni ma non va a modificare alcuna chiave del registro. Effettua però molte operazioni malevoli a livello di rete: 

  • Si connette all'indirizzo IP 89.149.###.### (cliccare per maggiori informazioni su proprietario e indirizzo web) loggandosi con username e password.
  • Inizia poi a inviare spam verso alcune caselle di posta elettronica di domini noti come yahoo.com, gmail.com, hotmail.com, virgilio.it. Il mittente cambia durante i successivi invii passando per alcuni domini come wow-europe.com, stainlessgames.com, 64bitsupport.com, qa.com, introversion.co.uk, game-era.com. Il contenuto della mail è una pagina html con un link a un sito porno.

 

     NOTE:

     %USERPROFILE% = C:\Documents and Settings\{username}


Rimozione: VirIT 6.9.38 - www.tgsoft.it