Trojan.Win32.FakeShell.AA
postato da blog.malwarelist.org [20/09/2011 15:08]
Il Trojan in analisi si presenta con il nome di aegvvp.exe.
Informazioni Tecniche
Funzionamento Il file aegvvp.exe una volta avviato modifica la chiave di registro in HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon [Shell] = Explorer.exe,%USERPROFILE%\aegvvp.exe. La chiave è già esistente ma il malware la modifica aggiungendosi al già presente Explorer.exe cosicché possa essere eseguito all'avvio.
NOTE: HKLM = HKEY_LOCAL_MACHINE %USERPROFILE% = C:\Documents and Settings\{username} Rimozione: Vir.IT 6.9.88 - www.tgsoft.it
|
commenti : (0)