Nume:TR/Zlob.65745.7
Descoperit pe data de:25/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:82.528 Bytes
MD5:1a9aee5d6c192efb9d5530f9168c8512
Versiune VDF:6.36.00.166
Versiune IVDF:6.36.00.184 - lunes 30 de octubre de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.asq
   •  Eset: Win32/TrojanDownloader.Zlob.AGA


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:



 Fisiere  Creeaza urmatorul director:
   • %PROGRAM FILES%\PornMag Pass



Sunt create fisierele:

– %PROGRAM FILES%\PornMag Pass\PornMagPass.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.65745.7

– %PROGRAM FILES%\PornMag Pass\uninst.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Zlob.65745.7

– %PROGRAM FILES%\PornMag Pass\PornMag Pass.url



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://yourguardonline.biz/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://85.255.118.2/ultra/php/install/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\laf%numar hexazecimal%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Valoarea urmatoarei chei este stearsa din registri:

–  [HKCU\Software\Internet Security]
   • "65010"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   PornMag Pass]
   • "ProductionEnvironment"="1"
   • "DisplayName"="PornMag Pass 1.0"
   • "UninstallString"="%PROGRAM FILES%\PornMag Pass\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\PornMag Pass\uninst.exe"
   • "DisplayVersion"="1.0"
   • "URLInfoAbout"="http://www.pornmagpass.com"
   • "Publisher"="PornMag Pass Inc."

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000001
   • "Path"="%PROGRAM FILES%\PornMag Pass"
   • "Removable"=dword:00000000
   • "65005"=dword:00000001

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descripción insertada por Adriana Popa el miércoles 6 de diciembre de 2006
Descripción actualizada por Adriana Popa el miércoles 6 de diciembre de 2006

Volver . . . .