blog.malwarelist.org

Il Trojan in analisi si presenta con il nome di aegvvp.exe.

Informazioni Tecniche

Funzionamento

Il file aegvvp.exe una volta avviato modifica la chiave di registro in HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon [Shell] = Explorer.exe,%USERPROFILE%\aegvvp.exe. La chiave è già esistente ma il malware la modifica aggiungendosi al già presente Explorer.exe cosicché possa essere eseguito all'avvio.

     NOTE:

     HKLM = HKEY_LOCAL_MACHINE

     %USERPROFILE% = C:\Documents and Settings\{username}