Nume:TR/Zlob.65745.8
Descoperit pe data de:25/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:49.803 Bytes
MD5:eea22afe223ef4c31fd0442281eaae61
Versiune VDF:6.36.00.166
Versiune IVDF:6.36.00.184 - Monday, October 30, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.aqo
   •  Grisoft: Downloader.Zlob.CX
   •  Eset: Win32/TrojanDownloader.Zlob


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:



 Fisiere  Creeaza urmatorul director:
   • %PROGRAM FILES%\VideoCompressionCodec



Este creat fisierul:

– %PROGRAM FILES%\VideoCompressionCodec\uninst.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.65745.8




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • 85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • yourguardonline.biz/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • 85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000003
   • "Path"="%PROGRAM FILES%\VideoCompressionCodec"
   • "Removable"=dword:00000000

– [HKCR\VSEnchancer.Chl]
– [HKCR\VSEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKCR\AVZipEnchancer.Chl]
– [HKCR\AVZipEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   VideoCompressionCodec]
   • "ProductionEnvironment"="1"
   • "DisplayName"="VideoCompressionCodec 10.0"
   • "UninstallString"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayVersion"="10.0"
   • "URLInfoAbout"="www.vccodec.com"
   • "Publisher"="VideoCompressionCodec Software"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Adriana Popa on Monday, November 13, 2006
Description updated by Adriana Popa on Tuesday, November 21, 2006

Back . . . .