Nume:TR/Drop.LdPinch.dvx
Descoperit pe data de:23/10/2007
Tip:Troian
Subtip:Dropper / Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:28.672 Bytes
MD5:67f88bf5ae4a4c64dbee3de00Dc8fc0C
Versiune IVDF:7.0.0.125

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Spy-Agent.bg
   •  Eset: Win32/PSW.LdPinch.DVX trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier malware

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sunt create fisierele:

– %WINDIR%\new_drv.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: RKIT/LdPinch.dvx

– c:\abcdefg.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ttool
   • %WINDIR%\9129837.exe



Se adauga in registrii sistemului:

– HKCU\Software\Microsoft\InetData
   • k1=dword:336602d5
   • k2=dword:4337c861
   • version="951"

 Backdoor Servere contactate:

   • http://**********/cgi-bin/options.cgi?user_id=165549058&version_id=951&passphrase=fkjvhsdvlksdhvlsd&socks=3633&version=124&crc=00000000

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script CGI.

Description inserted by Lutz Koch on Tuesday, October 23, 2007
Description updated by Lutz Koch on Wednesday, October 24, 2007

Back . . . .