Virus:TR/Dldr.Small.DBX
CME number:711
Date discovered:19/01/2007
Type:Trojan
In the wild:Yes
Reported Infections:High
Distribution Potential:Low
Damage Potential:Medium
Static file:No
File size:29.347 Bytes
VDF version:6.37.00.172
IVDF version:6.37.00.188 - Friday, January 19, 2007

 General Method of propagation:
   • No own spreading routine


Aliases:
   •  Mcafee: Downloader-BAI
   •  Kaspersky: Trojan-Downloader.Win32.Small.dam
   •  F-Secure: Trojan-Downloader.Win32.Small.dam
   •  Eset: Win32/Nuwar.Q


Platforms / OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Drops a file
   • Drops a malicious file
   • Registry modification
   • Third party control

 Files The following files are created:

%SYSDIR%\wincom32.sys Further investigation pointed out that this file is malware, too. Detected as: TR/Drop.Small.DBX

%SYSDIR%\peers.ini Contains parameters used by the malware.

 Registry The following registry keys are added in order to load the service after reboot:

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32]
   • Type = dword:00000001
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = \??\%SYSDIR%\wincom32.sys
   • DisplayName = wincom32

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Security]
   • Security = %hex values%

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Enum]
   • 0 = Root\LEGACY_WINCOM32\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

 Backdoor The following port is opened:

– services.exe on UDP port 4000


Contact server:
All of the following:
   • 172.204.216.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 84.63.5.**********:4000 (UDP)
   • 213.26.213.**********:4000 (UDP)
   • 161.53.166.**********:4000 (UDP)
   • 82.238.79.**********:4000 (UDP)
   • 83.254.68.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 172.186.14.**********:4000 (UDP)
   • 213.17.173.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 83.16.44.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.237.146.**********:4000 (UDP)
   • 82.207.217.**********:4000 (UDP)
   • 62.112.100.**********:4000 (UDP)
   • 59.12.212.**********:4000 (UDP)
   • 219.90.148.**********:4000 (UDP)
   • 85.10.196.**********:4000 (UDP)
   • 81.220.35.**********:4000 (UDP)
   • 82.158.63.**********:4000 (UDP)
   • 81.10.164.**********:4000 (UDP)
   • 90.12.109.**********:4000 (UDP)
   • 85.17.45.**********:4000 (UDP)
   • 72.36.146.**********:4000 (UDP)
   • 147.102.7.**********:4000 (UDP)
   • 80.6.173.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 67.68.2.**********:4000 (UDP)
   • 193.225.227.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 212.186.89.**********:4000 (UDP)
   • 81.220.203.**********:4000 (UDP)
   • 213.222.12.**********:4000 (UDP)
   • 213.22.207.**********:4000 (UDP)
   • 88.191.36.**********:4000 (UDP)
   • 84.162.164.**********:4000 (UDP)
   • 64.124.113.**********:4000 (UDP)
   • 209.6.132.**********:4000 (UDP)
   • 62.75.178.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 80.82.17.**********:4000 (UDP)
   • 82.149.10.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 84.180.227.**********:4000 (UDP)
   • 82.83.135.**********:4000 (UDP)
   • 141.20.150.**********:4000 (UDP)
   • 61.229.45.**********:4000 (UDP)
   • 87.174.66.**********:4000 (UDP)
   • 157.158.10.**********:4000 (UDP)
   • 62.149.0.**********:4000 (UDP)
   • 212.186.70.**********:4000 (UDP)
   • 65.199.174.**********:4000 (UDP)
   • 86.205.176.**********:4000 (UDP)
   • 84.100.195.**********:4000 (UDP)
   • 88.134.153.**********:4000 (UDP)
   • 82.134.38.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 91.121.3.**********:4000 (UDP)
   • 206.116.198.**********:4000 (UDP)
   • 88.191.30.**********:4000 (UDP)
   • 59.16.155.**********:4000 (UDP)
   • 82.238.101.**********:4000 (UDP)
   • 88.191.27.**********:4000 (UDP)
   • 83.20.130.**********:4000 (UDP)
   • 84.123.4.**********:4000 (UDP)
   • 200.68.82.**********:4000 (UDP)
   • 222.100.21.**********:4000 (UDP)
   • 193.42.213.**********:4000 (UDP)
   • 84.97.223.**********:4000 (UDP)
   • 207.226.112.**********:4000 (UDP)
   • 83.149.74.**********:4000 (UDP)
   • 62.4.83.**********:4000 (UDP)
   • 142.161.105.**********:4000 (UDP)
   • 212.122.104.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 147.83.119.**********:4000 (UDP)
   • 82.82.82.**********:4000 (UDP)
   • 202.160.12.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.58.91.**********:4000 (UDP)
   • 84.58.146.**********:4000 (UDP)
   • 82.84.181.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 213.80.170.**********:4000 (UDP)
   • 194.242.112.**********:4000 (UDP)
   • 217.147.37.**********:4000 (UDP)
   • 83.149.73.**********:4000 (UDP)
   • 66.172.60.**********:4000 (UDP)
   • 87.11.63.**********:4000 (UDP)
   • 189.140.92.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 81.168.178.**********:4000 (UDP)
   • 83.15.100.**********:4000 (UDP)
   • 84.162.255.**********:4000 (UDP)
   • 195.47.195.**********:4000 (UDP)
   • 69.245.185.**********:4000 (UDP)
   • 213.97.180.**********:4000 (UDP)
   • 212.241.66.**********:4000 (UDP)
   • 218.156.203.**********:4000 (UDP)
   • 61.78.66.**********:4000 (UDP)
   • 90.16.228.**********:4000 (UDP)
   • 212.203.143.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 213.133.111.**********:4000 (UDP)
   • 83.25.129.**********:4000 (UDP)
   • 80.53.63.**********:4000 (UDP)

Once connected it will retrieve an additional list of servers.
As a result it may send information and remote control could be provided.

Remote control capabilities:
    • Download file

 File details Runtime packer:
In order to aggravate detection and reduce size of the file it is packed with a runtime packer.

Description inserted by Andrei Gherman on Friday, January 19, 2007
Description updated by Andrei Gherman on Monday, January 22, 2007

Back . . . .