Nume:TR/Vundo.IS
Descoperit pe data de:24/07/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:93.184 Bytes
MD5:ac0B91f457566dfbdaeb0904946aa1c4
Versiune IVDF:7.00.05.160 - jueves 24 de julio de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Vundo trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.tmp
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%valori hex%"="rundll32.exe \"%directorul de activare malware%\%dll malware%",b"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\%valori hex%]
   • @="%valori hex%"
   • "red_srv"="%resurse folosite de malware descarcate de pe internet%"
   • "red_srv_bckp"="%resurse folosite de malware descarcate de pe internet%"

– [HKLM\SOFTWARE\Microsoft\aoprndtws]
   • @="%CLSID generate%"

– [HKCU\Software\Microsoft\rdfa]
   • "F"=hex:30,00
   • "N"=hex:30,00

 Backdoor Servere contactate:

   • http://regters.**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Andreas Feuerstein el miércoles 30 de julio de 2008
Descripción actualizada por Andreas Feuerstein el martes 16 de diciembre de 2008

Volver . . . .