Nume:TR/Dldr.Harnig.BD.1
Descoperit pe data de:10/04/2006
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:5.637 Bytes
MD5:9aa32c86cd9a164e4bf1b3eebf187c73
Versiune VDF:6.34.00.165

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Harnig.bd
   •  TrendMicro: TROJ_DLOADER.COH
   •  Bitdefender: Trojan.Downloader.Small.YU


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Descarca fisiere malware
   • Reduce setarile de securitate

 Fisiere Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\uniq

– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\kl1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Sinowal.H


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\tool2.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/Hoax.Renos.AG


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\country.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Killav.DB.2


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\secure32.html

– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: %PROGRAM FILES%\paytime.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/StartPage.adi.7


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\toolbar.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Killav.DB.2


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\tool1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Small.BO.Dldr


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\tool3.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tiny.AP.3


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\tool4.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Small.BO.18


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\tool5.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Click.Small.KR


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\ms1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.S.CJG.325.D


– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: %WINDIR%\Hosts

– Adresa este urmatoarea:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Fisierul este stocat pe hard disc la: c:\uniq

 Registrii sistemului  Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\CurrentControlSet\Services\SharedAccess]

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • Windows Firewall/Internet Connection Sharing (ICS)

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Die Beschreibung wurde erstellt von Andrei Ivanes am Mittwoch, 12. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 13. April 2006

zurück . . . .