Nume:TR/TComBill.O
Descoperit pe data de:21/04/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.240 Bytes
MD5:79a56b6e3fdaf3d7fa6950e754cfa348
Versiune VDF:6.34.00.214

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Small.coq
   •  TrendMicro: TROJ_DLOADER.DAY
   •  Bitdefender: Trojan.Downloader.Small.COQ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\sysldr.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/TComBill.O.2

 Registrii sistemului Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • sysldr



Se adauga in registrii sistemului:

– [HKCR\CLSID\{%CLSID generate%}\InprocServer32]
   • @ = sysldr.dll



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   Noua valoare:
   • sysldr = {%CLSID generate%}

 Backdoor Servere contactate:
Unul dintre:
   • http://dynafilmes.com.br/imagens/**********
   • http://soloaguia.com/imagens/**********
   • http://www.chiefmar.com/Images/**********
   • http://www.computerideasrl.it/immagini/**********
   • http://www.barpel.it/images/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\sysldr.dll

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Andrei Gherman el martes 25 de abril de 2006
Descripción actualizada por Andrei Gherman el martes 25 de abril de 2006

Volver . . . .