Nom:TR/Dldr.Tcom.1
La date de la découverte:19/07/2005
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:5.632 Octets
Somme de contrôle MD5:8e3cf147f6d642b4e0808cec743d856e
Version VDF:6.31.0.234

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Download.Trojan
   •  Mcafee: Downloader-ACS
   •  Kaspersky: Trojan-Downloader.Win32.Murlo.as
   •  TrendMicro: TROJ_VIDLO.K
   •  Sophos: Troj/Vidlo-R
   •  VirusBuster: Trojan.DL.Vidlo.H


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\%le fichier exécuté%



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %le dossier d'exécution du malware%\a.bat



Les fichiers suivants sont créés:

%le dossier d'exécution du malware%\a.bat Ceci est un fichier texte non malveillant avec le contenu suivant:
   • :l
     del %1
     if exist %1 goto l
     del %0

%SYSDIR%\dllsys.dll



Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://www.**********.net/images/2.exe
   • http://www.**********.ru/eshop/sys/2.exe
   • http://**********.com.ua/files/2.exe
   • http://www.**********.ru/test/pics/2.exe
   • http://**********/unix/2.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\local settings\temporary internet files Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Tcom.2


– Les emplacements sont les suivants:
   • http://www.**********.net/images/3.exe
   • http://www.**********.ru/eshop/sys/3.exe
   • http://**********.com.ua/files/3.exe
   • http://www.**********.ru/test/pics/3.exe
   • http://**********/unix/3.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\local settings\temporary internet files Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\software\microsoft\windows\currentversion\run\]
   • "winldr"="%WINDIR%\%le fichier exécuté%"

Description insérée par Sergiu Oprea le mercredi 3 août 2005
Description mise à jour par Sergiu Oprea le vendredi 26 août 2005

Retour . . . .