Vincenzo Di Russo's [MVP IE] Blog


enzodirusso


--------------------------------------------

--------------------------------------------

--------------------------------------------

Ora e Data
Calendario
ottobre 2017
lmmgvsd
2526272829301
2345678
9101112131415
16171819202122
23242526272829
303112345

[Alert] Trojan.Win32.Agent.TA, iewatch.exe e kaboom.dll

http://www.virit.com/startup/scheda.asp?num=2161
Copyright© 2004-05 Windows Startup Application - Malware. Tutti i diritti riservati TG Soft

Data: 12/12/2005
Nome: Trojan.Win32.Agent.TA

Tipologia:
Trojan - BHO
Stato:
X
Nomefile:
iewatch.exe - kaboom.dll
Startup:
IEAgent update check - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F}
Dimensione:
19968 byte
Descrizione:
Arriva con un email di spam invitando a collegarsi al sito: http://www.funnymoviesgallerie.com/72364 o bebotamovies.com per guardare un filmato. Eseguendo il filmato, viene richiesto di installare un codec (VideoCodec3_05b.exe) per la riproduzione, il quale installa iewatch.exe e kaboom.dll.
iewatch.exe si connette al sito http://joywebsurfer.com (oppure da 192.168.0.2) per prelevare il file ieagent_setup.exe in modo da aggiornare il trojan con una nuova release.
Il file kaboom.dll (45056 byte) è un BHO e si connette ai siti:
http://joywebsurfer.com
http://mucho-cool.com
http://epromosystems.com
Vi sono altre varianti del file iewatch.exe lunghe: 23040 byte


Altre informazioni sul trojan (numerose varianti!):

http://www.sophos.com/virusinfo/analyses/trojbombkaa.html
http://vil.nai.com/vil/content/v_137606.htm
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=137606
http://securityresponse.symantec.com/avcenter/venc/data/trojan.bomka.html
Symantec Security Response - Trojan.Spamlia
http://www.virit.com/startup/scheda.asp?num=2191
http://www.sophos.com/virusinfo/analyses/trojagentfv.html

http://www.sophos.com/virusinfo/analyses/trojagentif.html
http://www.castlecops.com/tk27023-IE_Agent.html

http://attivissimo.blogspot.com/2005/12/strano-minispam-virale-aggiornamento.html


Informazioni per la rimozione:
http://www.tgsoft.it/italy/index_ita.html
- Installare ed eseguire la versione di prova di Vir.IT eXplorer Lite.

http://www.greatis.com/regrunplat.zip
- Installare ed eseguire la versione di prova di "RegRun Security Suite Version 4.50 Platinum Edition".
http://greatis.com/security/download.htm
martedì, 27 dic 2005 Ore. 20.16

Messaggi collegati


-----------------------------------------------

-----------------------------------------------

-----------------------------------------------

Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003