Punto informatico Network
Canali

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Sicurezza » Articoli
20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

Trojan CiD, il virus dei pop-up pubblicitari

12/02/2008
- A cura di
Sicurezza - Decine di finestre intestati CiD infestano il computer: è ora di liberarsi una volta per tutte di queste pubblicità.

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    virus (1) , pop-up (1) , trojan (1) .
    Tag Cloud

    Valutazione

    •  
    Voto complessivo 5 calcolato su 312 voti
    Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

    Sono molti i nomi con cui è conosciuto il trojan che stiamo per analizzare. Il più famoso tra questi è forse CiD, mentre gli antivirus lo riconoscono come Swizzor.

    Capire che il vostro computer è stato infettato da questo trojan è piuttosto semplice, visti i tanti pop-up pubblicitari che ci appaiono mentre stiamo lavorando sul PC. Si tratta di pubblicità relative agli argomenti più disparati, dai casinò e siti di gioco on-line, a siti pornografici.

    Cid_11.JPG

    Una volta avviata l'infezione, viene creata una cartella con un nome random (casuale) all'interno della cartella Dati Applicazioni nella directory del profilo utente:

    Cid_12.JPG

    Inserisce nella cartella appena creata alcuni file, anch'essi con nomi casuali.

    Cid_13.JPG

    Inoltre, nella cartella Dati Applicazioni della directory in cui sono salvati tutti i file e i settaggi da assegnare alla creazione di un nuovo utente (C:\Documents and Settings\All Users), crea una cartella con nome casuale, costituito però da più di una parola:

    Cid_14.JPG

    I file downloader del trojan verranno collocati all'interno della cartella appena creata. Essi saranno in grado di riscaricare il trojan e rigenerare l'infezione, nel caso quest'ultimo venga rimosso solo parzialmente.

    Cid_15.JPG

    Anche se creassimo un nuovo utente per sperare di aggirare l'infezione, rimarremo parecchio stupiti nel trovare il computer nuovamente infetto.

    Per avviare i file che compongono la parte downloader del trojan, crea un valore nel registro di sistema all'interno della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, che punta ai file presenti nella cartella casuale contenuta in C:\Documents and Settings\All Users\Dati Applicazioni:

    Cid_10.JPG

    Crea un valore analogo nel percorso HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, che riporta però ai file infetti creati all'interno della cartella Dati Applicazioni del profilo corrente:

    Cid_9.JPG

    Cerca di garantirsi l'avvio automatico creando anche un file .job nella cartella C: \Windows\Tasks che punta al file contenuto nella cartella Dati Applicazioni del profilo utente infetto:

    CiD_19.JPG

    Analisi dei file infetti

    Cid_19.JPG

    Analisi del file Downloader dell'infezione su VirusTotal.com

    Cid_17.JPG

    Analisi del file presente nella cartella casuale dell'utente infetto su VirusTotal.com
    Pagine
    1. Trojan CiD, il virus dei pop-up pubblicitari
    2. Rimozione
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2025 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 0.26 sec.
      •  | Utenti conn.: 99
      •  | Revisione 2.0.1
      •  | Numero query: 37
      •  | Tempo totale query: 0.03