Nom:TR/Drop.Small.ue.11
La date de la découverte:15/09/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:14.336 Octets
Somme de contrôle MD5:645063cc02e5ebf5dd50f34483c81f74
Version VDF:6.31.1.58

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  TrendMicro: TROJ_SMALL.ANG
   •  F-Secure: W32/Dropper.ADV
   •  VirusBuster: Trojan.DR.Small.ZQ1
   •  Bitdefender: Dropped:Trojan.Downloader.2591.E


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\tmp%chaîne de caractères aléatoire de deux digits%.tmp

%TEMPDIR%\tmp%chaîne de caractères aléatoire de deux digits%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://www.**********.us/backgr.jppg
   • http://www.**********.us/backgr1.jppg
   • http://www.**********.us/backgr2.jppg
   • http://www.**********.us/backgr3.jppg
   • http://**********.net/backgr.jppg
   • http://**********.net/backgr1.jppg
   • http://**********.net/backgr2.jppg
   • http://**********.net/backgr3.jppg
   • http://**********.hbhosting.com/backgr.jppg
   • http://**********.hbhosting.com/backgr1.jppg
   • http://**********.hbhosting.com/backgr2.jppg
   • http://**********.hbhosting.com/backgr3.jppg
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Porte dérobée Serveur de contact:
Le suivant:
   • **********.171.45\count.php

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.yahoo.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Catalin Jora le jeudi 15 septembre 2005
Description mise à jour par Catalin Jora le mercredi 21 septembre 2005

Retour . . . .