Nume:TR/Zlob.65745.9
Descoperit pe data de:25/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:60.905 Bytes
MD5:e948d9ab21d0f1b1bdb3ba8af1c704c9
Versiune VDF:6.36.00.166
Versiune IVDF:6.36.00.184 - Montag, 30. Oktober 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.yo
   •  Eset: Win32/TrojanDownloader.Zlob.AGA


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:



 Fisiere  Creeaza urmatorul director:
   • %PROGRAM FILES%\PornPass Manager



Sunt create fisierele:

– %PROGRAM FILES%\PornPass Manager\pornpassmanager.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.65745.9

– %PROGRAM FILES%\PornPass Manager\uninst.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.65745.9

– %PROGRAM FILES%\PornPass Manager\PornPassManager.exe.manifest
– %PROGRAM FILES%\PornPass Manager\PornPass Manager.url



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://yourguardonline.biz/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Valoarea urmatoarei chei este stearsa din registri:

–  [HKCU\Software\Internet Security]
   • "65010"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   PornPass Manager]
   • "ProductionEnvironment"="1"
   • "DisplayName"="PornPass Manager 5.0"
   • "UninstallString"="%PROGRAM FILES%\PornPass Manager\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\PornPass Manager\uninst.exe"
   • "DisplayVersion"="5.0"
   • "URLInfoAbout"="http://www.pornpassmanager.com"
   • "Publisher"="PornPass Manager Inc."

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000001
   • "Path"="%PROGRAM FILES%\PornPass Manager"
   • "Removable"=dword:00000000
   • "65005"=dword:00000001

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 5. Dezember 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 5. Dezember 2006

zurück . . . .