Nombre:TR/Dldr.Tiny.brm
Descubierto:14/07/2008
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:8.192 Bytes
Suma de control MD5:6b4ef50e3e21205685cea919ebf93476
Versión del IVDF:7.00.05.107 - lunes 14 de julio de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Trojan Horse
   •  Kaspersky: Trojan-Downloader.Win32.Obitel.a
   •  TrendMicro: TROJ_DLOADR.GG
   •  F-Secure: Trojan-Downloader.Win32.Obitel.a
   •  Sophos: Troj/Agent-HFU
   •  Eset: Win32/TrojanDownloader.Tiny.NDM
   •  Bitdefender: Trojan.Downloader.Gadja.C


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\userinit.exe



Renombra el siguiente fichero:

    •  %SYSDIR%\userinit.exe en %SYSDIR%\userini.exe



Elimina la copia inicial del virus.

%TEMPDIR%\%serie de caracteres aleatorios de tres dígitos%.tmp Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Tiny.brm.1




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://fixaserver.ru/**********gate.php**********
Además, este fichero es ejecutado después de haber sido descargago. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
Uno de los siguientes:
   • Ihr UPS Paket %serie de caracteres aleatorios%
   • UPS Paket %serie de caracteres aleatorios%



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Guten Tag,
     leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
     die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
     und holen Sie ihr Paket bei uns ab.

   • Dear Sir/Madam,
     
     Unfortunately we were not able to deliver postal package you sent on July the 1st in time because the recipient's address is not correct.
     Please print out the invoice copy attached and collect the package at our office
     
     Your UPS


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • UPS_Lieferschein_8102.zp
   • ups_invoice.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Thomas Wegele el martes 15 de julio de 2008
Descripción actualizada por Thomas Wegele el martes 15 de julio de 2008

Volver . . . .