Nume:TR/Zlob.65745.8
Descoperit pe data de:25/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:49.803 Bytes
MD5:eea22afe223ef4c31fd0442281eaae61
Versiune VDF:6.36.00.166
Versiune IVDF:6.36.00.184 - Montag, 30. Oktober 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.aqo
   •  Grisoft: Downloader.Zlob.CX
   •  Eset: Win32/TrojanDownloader.Zlob


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:



 Fisiere  Creeaza urmatorul director:
   • %PROGRAM FILES%\VideoCompressionCodec



Este creat fisierul:

– %PROGRAM FILES%\VideoCompressionCodec\uninst.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.65745.8




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • 85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • yourguardonline.biz/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • 85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000003
   • "Path"="%PROGRAM FILES%\VideoCompressionCodec"
   • "Removable"=dword:00000000

– [HKCR\VSEnchancer.Chl]
– [HKCR\VSEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKCR\AVZipEnchancer.Chl]
– [HKCR\AVZipEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   VideoCompressionCodec]
   • "ProductionEnvironment"="1"
   • "DisplayName"="VideoCompressionCodec 10.0"
   • "UninstallString"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayVersion"="10.0"
   • "URLInfoAbout"="www.vccodec.com"
   • "Publisher"="VideoCompressionCodec Software"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 13. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 21. November 2006

zurück . . . .