Nume:TR/TComBill.O
Descoperit pe data de:21/04/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.240 Bytes
MD5:79a56b6e3fdaf3d7fa6950e754cfa348
Versiune VDF:6.34.00.214

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Small.coq
   •  TrendMicro: TROJ_DLOADER.DAY
   •  Bitdefender: Trojan.Downloader.Small.COQ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\sysldr.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/TComBill.O.2

 Registrii sistemului Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • sysldr



Se adauga in registrii sistemului:

– [HKCR\CLSID\{%CLSID generate%}\InprocServer32]
   • @ = sysldr.dll



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   Noua valoare:
   • sysldr = {%CLSID generate%}

 Backdoor Servere contactate:
Unul dintre:
   • http://dynafilmes.com.br/imagens/**********
   • http://soloaguia.com/imagens/**********
   • http://www.chiefmar.com/Images/**********
   • http://www.computerideasrl.it/immagini/**********
   • http://www.barpel.it/images/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\sysldr.dll

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le mardi 25 avril 2006
Description mise à jour par Andrei Gherman le mardi 25 avril 2006

Retour . . . .