Nume:TR/Click.AU
Descoperit pe data de:28/09/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:11.109 Bytes
MD5:e87f0271ce34b9f9491b6fd95c2e14a4
Versiune VDF:6.36.00.60
Versiune IVDF:6.36.00.73 - Montag, 2. Oktober 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Downloader-AYN
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.c
   •  TrendMicro: PAK_Generic.002
   •  F-Secure: W32/Small.DUU
   •  Sophos: Troj/Dloadr-ANX
   •  Eset: Win32/TrojanDownloader.Agent.NHA


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\upnp.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.zxcvz.com/**********
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%director ales aleator%\c.php In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "np"="%SYSDIR%\upnp.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\unker]
– [HKCU\Software\unker\%fisier executat%]
– [HKCU\Software\unker\%fisier executat%\main]
   • "cid"=%valori hex%

– [HKCU\Software\unker\upnp]
– [HKCU\Software\unker\upnp\main]
   • "cid"=%valori hex%

 Backdoor Servere contactate:
Urmatorul:
   • http://www.zxcvz.com/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • ewffefewfwjioIJOJIojioerjiogryivctyxrtio

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 28. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 17. November 2006

zurück . . . .