Nume:TR/Vundo.AH
Descoperit pe data de:05/03/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~282.212 Bytes
Versiune VDF:6.37.01.191
Versiune IVDF:6.37.01.197 - Monday, March 5, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.tmp
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • Browser Helper Objects\{%CLSID generate%}]



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %dll malware%]
   • Asynchronous = dword:00000001
   • DllName = %directorul de activare malware%\%dll malware%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%CLSID generate%}]
– [HKCR\CLSID\{%CLSID generate%}\InprocServer32]
   • @ = %directorul de activare malware%\%dll malware%
   • ThreadingModel = Both

 Backdoor Servere contactate:

   • http://whitesc**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Cristian Dobre on Monday, March 19, 2007
Description updated by Andrei Gherman on Monday, March 19, 2007

Back . . . .