Vollständige Virenbeschreibung

Name:	TR/Dldr.Tcom.1
Entdeckt am:	19/07/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	5.632 Bytes
MD5 Prüfsumme:	8e3cf147f6d642b4e0808cec743d856e
VDF Version:	6.31.0.234

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Download.Trojan
   • Mcafee: Downloader-ACS
   • Kaspersky: Trojan-Downloader.Win32.Murlo.as
   • TrendMicro: TROJ_VIDLO.K
   • Sophos: Troj/Vidlo-R
   • VirusBuster: Trojan.DL.Vidlo.H

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\%ausgeführte Datei%

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\a.bat

Es werden folgende Dateien erstellt:

– %Verzeichnis in dem die Malware ausgeführt wurde%\a.bat Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • :l
     del %1
     if exist %1 goto l
     del %0

– %SYSDIR%\dllsys.dll

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://www.**********.net/images/2.exe
   • http://www.**********.ru/eshop/sys/2.exe
   • http://**********.com.ua/files/2.exe
   • http://www.**********.ru/test/pics/2.exe
   • http://**********/unix/2.exe
Diese wird lokal gespeichert unter: %HOME%\local settings\temporary internet files Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Tcom.2

– Die URLs sind folgende:
   • http://www.**********.net/images/3.exe
   • http://www.**********.ru/eshop/sys/3.exe
   • http://**********.com.ua/files/3.exe
   • http://www.**********.ru/test/pics/3.exe
   • http://**********/unix/3.exe
Diese wird lokal gespeichert unter: %HOME%\local settings\temporary internet files Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\software\microsoft\windows\currentversion\run\]
• "winldr"="%WINDIR%\%ausgeführte Datei%"

Die Beschreibung wurde erstellt von Sergiu Oprea am Mittwoch, 3. August 2005
Die Beschreibung wurde geändert von Sergiu Oprea am Freitag, 26. August 2005

zurück . . . .