Nume:TR/Dldr.Small.DBX
Numar CME: 711
Descoperit pe data de:19/01/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Ridicat
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:29.347 Bytes
Versiune VDF:6.37.00.172
Versiune IVDF:6.37.00.188 - Friday, January 19, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Downloader-BAI
   •  Kaspersky: Trojan-Downloader.Win32.Small.dam
   •  F-Secure: Trojan-Downloader.Win32.Small.dam
   •  Eset: Win32/Nuwar.Q


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– %SYSDIR%\wincom32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Small.DBX

– %SYSDIR%\peers.ini Contine parametri folositi de malware.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32]
   • Type = dword:00000001
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = \??\%SYSDIR%\wincom32.sys
   • DisplayName = wincom32

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Enum]
   • 0 = Root\LEGACY_WINCOM32\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

 Backdoor Deschide portul

– services.exe pe portul UDP 4000


Servere contactate:
Urmatoarele:
   • 172.204.216.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 84.63.5.**********:4000 (UDP)
   • 213.26.213.**********:4000 (UDP)
   • 161.53.166.**********:4000 (UDP)
   • 82.238.79.**********:4000 (UDP)
   • 83.254.68.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 172.186.14.**********:4000 (UDP)
   • 213.17.173.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 83.16.44.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.237.146.**********:4000 (UDP)
   • 82.207.217.**********:4000 (UDP)
   • 62.112.100.**********:4000 (UDP)
   • 59.12.212.**********:4000 (UDP)
   • 219.90.148.**********:4000 (UDP)
   • 85.10.196.**********:4000 (UDP)
   • 81.220.35.**********:4000 (UDP)
   • 82.158.63.**********:4000 (UDP)
   • 81.10.164.**********:4000 (UDP)
   • 90.12.109.**********:4000 (UDP)
   • 85.17.45.**********:4000 (UDP)
   • 72.36.146.**********:4000 (UDP)
   • 147.102.7.**********:4000 (UDP)
   • 80.6.173.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 67.68.2.**********:4000 (UDP)
   • 193.225.227.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 212.186.89.**********:4000 (UDP)
   • 81.220.203.**********:4000 (UDP)
   • 213.222.12.**********:4000 (UDP)
   • 213.22.207.**********:4000 (UDP)
   • 88.191.36.**********:4000 (UDP)
   • 84.162.164.**********:4000 (UDP)
   • 64.124.113.**********:4000 (UDP)
   • 209.6.132.**********:4000 (UDP)
   • 62.75.178.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 80.82.17.**********:4000 (UDP)
   • 82.149.10.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 84.180.227.**********:4000 (UDP)
   • 82.83.135.**********:4000 (UDP)
   • 141.20.150.**********:4000 (UDP)
   • 61.229.45.**********:4000 (UDP)
   • 87.174.66.**********:4000 (UDP)
   • 157.158.10.**********:4000 (UDP)
   • 62.149.0.**********:4000 (UDP)
   • 212.186.70.**********:4000 (UDP)
   • 65.199.174.**********:4000 (UDP)
   • 86.205.176.**********:4000 (UDP)
   • 84.100.195.**********:4000 (UDP)
   • 88.134.153.**********:4000 (UDP)
   • 82.134.38.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 91.121.3.**********:4000 (UDP)
   • 206.116.198.**********:4000 (UDP)
   • 88.191.30.**********:4000 (UDP)
   • 59.16.155.**********:4000 (UDP)
   • 82.238.101.**********:4000 (UDP)
   • 88.191.27.**********:4000 (UDP)
   • 83.20.130.**********:4000 (UDP)
   • 84.123.4.**********:4000 (UDP)
   • 200.68.82.**********:4000 (UDP)
   • 222.100.21.**********:4000 (UDP)
   • 193.42.213.**********:4000 (UDP)
   • 84.97.223.**********:4000 (UDP)
   • 207.226.112.**********:4000 (UDP)
   • 83.149.74.**********:4000 (UDP)
   • 62.4.83.**********:4000 (UDP)
   • 142.161.105.**********:4000 (UDP)
   • 212.122.104.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 147.83.119.**********:4000 (UDP)
   • 82.82.82.**********:4000 (UDP)
   • 202.160.12.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.58.91.**********:4000 (UDP)
   • 84.58.146.**********:4000 (UDP)
   • 82.84.181.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 213.80.170.**********:4000 (UDP)
   • 194.242.112.**********:4000 (UDP)
   • 217.147.37.**********:4000 (UDP)
   • 83.149.73.**********:4000 (UDP)
   • 66.172.60.**********:4000 (UDP)
   • 87.11.63.**********:4000 (UDP)
   • 189.140.92.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 81.168.178.**********:4000 (UDP)
   • 83.15.100.**********:4000 (UDP)
   • 84.162.255.**********:4000 (UDP)
   • 195.47.195.**********:4000 (UDP)
   • 69.245.185.**********:4000 (UDP)
   • 213.97.180.**********:4000 (UDP)
   • 212.241.66.**********:4000 (UDP)
   • 218.156.203.**********:4000 (UDP)
   • 61.78.66.**********:4000 (UDP)
   • 90.16.228.**********:4000 (UDP)
   • 212.203.143.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 213.133.111.**********:4000 (UDP)
   • 83.25.129.**********:4000 (UDP)
   • 80.53.63.**********:4000 (UDP)

Odata conectat, descarca o alta lista de servere.
Astfel se pot transmite informatii si se poate obtine control la distanta.

Posibilitati de control la distanta:
    • descarcare fisier

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Friday, January 19, 2007
Description updated by Andrei Gherman on Monday, January 22, 2007

Back . . . .