Nom:TR/Dldr.Harnig.BD.1
La date de la découverte:10/04/2006
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:5.637 Octets
Somme de contrôle MD5:9aa32c86cd9a164e4bf1b3eebf187c73
Version VDF:6.34.00.165

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Harnig.bd
   •  TrendMicro: TROJ_DLOADER.COH
   •  Bitdefender: Trojan.Downloader.Small.YU


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il télécharge des fichiers malveillants
   • Il diminue les réglages de sécurité

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\uniq

– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\kl1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Sinowal.H


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\tool2.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/Hoax.Renos.AG


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\country.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Killav.DB.2


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\secure32.html

– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\paytime.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/StartPage.adi.7


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\toolbar.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Killav.DB.2


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\tool1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Proxy.Small.BO.Dldr


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\tool3.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Tiny.AP.3


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\tool4.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Proxy.Small.BO.18


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\tool5.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Click.Small.KR


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\ms1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.S.CJG.325.D


– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Hosts

– L'emplacement est le suivant:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Il est sauvegardé sur le disque dur local à l'emplacement: c:\uniq

 Registre  La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
   • [HKLM\CurrentControlSet\Services\SharedAccess]

 Arrêt de processus:  Le service suivant est désactivé:
   • Windows Firewall/Internet Connection Sharing (ICS)

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Andrei Ivanes le mercredi 12 avril 2006
Description mise à jour par Andrei Gherman le jeudi 13 avril 2006

Retour . . . .