Nume:TR/Dldr.Tcom.1
Descoperit pe data de:19/07/2005
Tip:Troian
Subtip:Downloader
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:5.632 Bytes
MD5:8e3cf147f6d642b4e0808cec743d856e
Versiune VDF:6.31.0.234

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Download.Trojan
   •  Mcafee: Downloader-ACS
   •  Kaspersky: Trojan-Downloader.Win32.Murlo.as
   •  TrendMicro: TROJ_VIDLO.K
   •  Sophos: Troj/Vidlo-R
   •  VirusBuster: Trojan.DL.Vidlo.H


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\%fisier executat%



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %directorul de activare malware%\a.bat



Sunt create fisierele:

%directorul de activare malware%\a.bat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • :l
     del %1
     if exist %1 goto l
     del %0

– %SYSDIR%\dllsys.dll



Incearca sa descarce cateva fisiere:

– Adresele sunt urmatoarele:
   • http://www.**********.net/images/2.exe
   • http://www.**********.ru/eshop/sys/2.exe
   • http://**********.com.ua/files/2.exe
   • http://www.**********.ru/test/pics/2.exe
   • http://**********/unix/2.exe
Fisierul este stocat pe hard disc la: %HOME%\local settings\temporary internet files In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Tcom.2


– Adresele sunt urmatoarele:
   • http://www.**********.net/images/3.exe
   • http://www.**********.ru/eshop/sys/3.exe
   • http://**********.com.ua/files/3.exe
   • http://www.**********.ru/test/pics/3.exe
   • http://**********/unix/3.exe
Fisierul este stocat pe hard disc la: %HOME%\local settings\temporary internet files In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\software\microsoft\windows\currentversion\run\]
   • "winldr"="%WINDIR%\%fisier executat%"

Descripción insertada por Sergiu Oprea el miércoles 3 de agosto de 2005
Descripción actualizada por Sergiu Oprea el viernes 26 de agosto de 2005

Volver . . . .