Atom Feed RSS Feed

Il mio profilo

My Photo
Name: blog
Location:

RICERCA

VirIT eXplorer Antivirus

Calendario

Ultimi Commenti

Archivio

Conta visite

Trojan.Win32.FakeShell.AA

postato da blog.malwarelist.org [20/09/2011 15:08]

 

Il Trojan in analisi si presenta con il nome di aegvvp.exe.

 

 

Informazioni Tecniche

 

 Nome file:

 aegvvp.exe

 Dimensioni:

 89.600 byte

 Percorso di installazione:

 %USERPROFILE%

 Chiave di registro modificata:

 HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon [Shell] = Explorer.exe,%USERPROFILE%\aegvvp.exe

 

Funzionamento

Il file aegvvp.exe una volta avviato modifica la chiave di registro in HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon [Shell] = Explorer.exe,%USERPROFILE%\aegvvp.exe. La chiave è già esistente ma il malware la modifica aggiungendosi al già presente Explorer.exe cosicché possa essere eseguito all'avvio.

 

     NOTE:

     HKLM = HKEY_LOCAL_MACHINE

     %USERPROFILE% = C:\Documents and Settings\{username}


Rimozione: Vir.IT 6.9.88 - www.tgsoft.it