Nume:TR/Vundo.NV
Descoperit pe data de:16/12/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Versiune IVDF:7.01.00.238 - Dienstag, 16. Dezember 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Grisoft: Vundo.CL


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini2




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://85.17.166.232/**********/index.dll
Fisierul este stocat pe hard disc la: %TEMPDIR%\%combinatie de caractere aleatoare%.dll In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Vundo.NU


– Adresa este urmatoarea:
   • http://89.188.16.46/**********/zc113432.dll
Fisierul este stocat pe hard disc la: %TEMPDIR%\%combinatie de caractere aleatoare%.dll In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Vundo.NT

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}]


Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}\InprocServer32]
   • @="%directorul de activare malware%\\%dll malware%"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\%numar hexazecimal%]
   • "Version"="%resurse folosite de malware descarcate de pe internet%"

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Andreas Feuerstein am Dienstag, 16. Dezember 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Dienstag, 16. Dezember 2008

zurück . . . .