Nume:TR/Click.VB.FO
Descoperit pe data de:02/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:79.872 Bytes
MD5:c3c8b6dac9c0a0cd27c3edf1822ed786
Versiune VDF:6.36.00.71
Versiune IVDF:6.36.00.86 - Montag, 9. Oktober 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.VB.fo
   •  F-Secure: Trojan-Clicker.Win32.VB.fo
   •  Grisoft: Clicker.DCK
   •  Eset: Win32/TrojanClicker.VB.FO


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\temp.reg

– %SYSDIR%\WinVer.ini
– %SYSDIR%\wmpStatus.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.VB.DT.2

%directorul de activare malware%\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\svchost.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.VB.DT.1.B

– %WINDIR%\boot.ini Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Agent.VP.2

– %WINDIR%\userinit.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Agent.VP.2

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Netwscsvc]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%WINDIR%\svchost.exe
   • "DisplayName"="Network wscsvc sharedaccess Service"
   • "ObjectName"="LocalSystem"
   • "Description"="???????????"

– [HKLM\SYSTEM\CurrentControlSet\Services\Netwscsvc\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\Netwscsvc\Enum]
   • "0"="Root\\LEGACY_NETWSCSVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   Vechea valoare:
   • "AcceptLanguage"=%setarile utilizatorului%
   Noua valoare:
   • "AcceptLanguage"="zh-cn"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Donnerstag, 5. Oktober 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 9. Oktober 2006

zurück . . . .