Nume:TR/Jorik.Tibs.N
Descoperit pe data de:12/07/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:225280 Bytes
MD5:6736a9477c64d7c345f2b8c71cc79069
Versiune IVDF:7.10.09.71 - Montag, 12. Juli 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan.Win32.Jorik.Tibs.n
   •  Eset: Win32/TrojanDownloader.VB.ORK


Sistem de operare:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Descarca fisiere malware

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\%combinatie de caractere aleatoare%.exe



Este creat fisierul:

– %temporary internet files%\Content.IE5\A7WRO9QN\ip_query_country[1].xml Acesta este un fisier curat, care contine informatii despre programul in sine.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://ho**********C.exe
Fisierul este stocat pe hard disc la: %APPDATA%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Agent.MS


– Adresa este urmatoarea:
   • http://ho**********4U.exe
Fisierul este stocat pe hard disc la: %APPDATA%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. In momentul analizei, aceasta era deja o noua versiune de malware. Detectat ca: TR/Jorik.Tibs.N.1


– Adresa este urmatoarea:
   • http://ho**********STL.exe
Fisierul este stocat pe hard disc la: %APPDATA%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PCK.Tdss.O.43

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Dienstag, 13. Juli 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Dienstag, 13. Juli 2010

zurück . . . .