Trojan.Jakposh
Pagina 1 di 1
Trojan.Jakposh
Admin Gio Dic 03, 2009 12:06 am
CARTA D'IDENTITA'
Tipo di minaccia: trojan horse
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Monitora l'attività dell'utente su internet e reindirizza il browser verso indirizzi poco raccomandabili.
COSA FA
Una volta eseguito il trojan effettua queste azioni:
1. Crea i seguenti files:
* %CurrentFolder%\archeved.exe
* %CurrentFolder%\[RANDOM DIGITS].dll
2. Cancella i seguenti files:
%CurrentFolder%\archeved.exe
3. Crea le seguenti chiavi di registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{14D1A72C-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{14D1A720-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects
\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion \Ext\Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}\iexplore
HKEY_ALL_USERS\Software\fid
4. Aggiunge il valore:
"Enable Browser Extensions" = "yes"
alla seguente chiave di registro:
HKEY_ALL_USERS\Software\Microsoft\Internet Explorer\Main
5. Registra se stesso come oggetto che si avvierà automaticamente ad ogni avvio di sistema.
6. Monitora l'attività dell'utente nel web browser e reindirizza dai seguenti siti che effettuano le ricerche:
* yahoo.com
* search.msn.com
* google
7. Reindirizza i siti citati sopra verso i seguenti:
* [http://]poshukah.info/xmlsearch.php?k=[RIMOSSO]
* [http://]goodsearchnow.com/search.php?tpl=main&q=[RIMOSSO]
8. Fa comparire messaggi pop up.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: trojan horse
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Monitora l'attività dell'utente su internet e reindirizza il browser verso indirizzi poco raccomandabili.
COSA FA
Una volta eseguito il trojan effettua queste azioni:
1. Crea i seguenti files:
* %CurrentFolder%\archeved.exe
* %CurrentFolder%\[RANDOM DIGITS].dll
2. Cancella i seguenti files:
%CurrentFolder%\archeved.exe
3. Crea le seguenti chiavi di registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{14D1A72C-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{14D1A720-8705-11D8-B120-0040F46CB696}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bho_html.edit_html.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects
\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion \Ext\Stats\{14D1A72D-8705-11D8-B120-0040F46CB696}\iexplore
HKEY_ALL_USERS\Software\fid
4. Aggiunge il valore:
"Enable Browser Extensions" = "yes"
alla seguente chiave di registro:
HKEY_ALL_USERS\Software\Microsoft\Internet Explorer\Main
5. Registra se stesso come oggetto che si avvierà automaticamente ad ogni avvio di sistema.
6. Monitora l'attività dell'utente nel web browser e reindirizza dai seguenti siti che effettuano le ricerche:
* yahoo.com
* search.msn.com
7. Reindirizza i siti citati sopra verso i seguenti:
* [http://]poshukah.info/xmlsearch.php?k=[RIMOSSO]
* [http://]goodsearchnow.com/search.php?tpl=main&q=[RIMOSSO]
8. Fa comparire messaggi pop up.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.