Nume:TR/Dldr.iBill.BI
Descoperit pe data de:05/11/2008
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:24.576 Bytes
MD5:f5d072098fdd5b46b22b54caf9dd55a8
Versiune IVDF:7.01.00.40 - Mittwoch, 5. November 2008

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Panda: W32/Auraax.A.worm
   •  Eset: Win32/AutoRun.Agent.AO
   •  Bitdefender: Win32.Worm.Autorun.OH


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe
   • %unitate disc%\system.exe



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce cateva fisiere:

– Adresele sunt urmatoarele:
   • http://cjusbciw123.com/**********?v=1&rs=544453496&n=1&uid=1
   • http://univnext.cn/**********?v=1&rs=544453496&n=1&uid=1
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Urmatoarele procese:
   • svchost.exe
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 26. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 1. März 2010

zurück . . . .