Nume:TR/Drop.Stration.677
Descoperit pe data de:26/10/2006
Tip:Troian
Subtip:Dropper
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:109.100 Bytes
MD5:41b787a3275255e4e17360ba59cdc763
Versiune VDF:6.36.01.60
Versiune IVDF:6.36.01.63 - Tuesday, November 21, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.dq
   •  Sophos: W32/Stratio-BW
   •  Eset: Win32/Stration.KQ

Initial identificat ca:
   •  TR/Hijack.Explor.677


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Sunt create fisierele:

– %SYSDIR%\audmgr32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.DQ

– %SYSDIR%\audconf.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.DQ.2

– %SYSDIR%\audperf.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.DQ.10

– %SYSDIR%\audprf32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.DQ.3

– %SYSDIR%\audstat.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.DQ.6

– %SYSDIR%\confaud.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: WORM/Warezov.DQ.1

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   audmgr]
   • "Asynchronous"=dword:00000000
   • "DllName"="audmgr32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="WlxStartup"
   • "Shutdown"="WlxShutdown"



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Vechea valoare:
   • "AppInit_DLLs"=""
   Noua valoare:
   • "AppInit_DLLs"=" confaud.dll audstat.dll"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW

Description inserted by Monica Ghitun on Thursday, October 26, 2006
Description updated by Adriana Popa on Tuesday, November 21, 2006

Back . . . .