Nume:TR/Vundo.HY
Descoperit pe data de:13/06/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:321.536 Bytes
MD5:985c2011d7971e33d9ace5892a51f28b
Versiune IVDF:7.00.04.187 - Freitag, 13. Juni 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Sophos: Troj/FakeAle-CB
   •  Eset: a variant of Win32/Adware.Virtumonde application


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • C:\%directorul de activare malware%\rt.ini
   • C:\%directorul de activare malware%\rt.ini2




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://62.4.83.203/antispy/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\%sir de 8 caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Monder.XO

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCR\CLSID\{2C72B974-315C-439C-B13E-FB0E062D6B1C}\InprocServer32]
   • @="%directorul de activare malware%\%dll malware%"
   • "ThreadingModel"="Both"



Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\
   • {2C72B974-315C-439C-B13E-FB0E062D6B1C}]

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 19. Juni 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 19. Juni 2008

zurück . . . .