Nom:TR/Zlob.65745.9
La date de la découverte:25/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:60.905 Octets
Somme de contrôle MD5:e948d9ab21d0f1b1bdb3ba8af1c704c9
Version VDF:6.36.00.166
Version IVDF:6.36.00.184 - lundi 30 octobre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.yo
   •  Eset: Win32/TrojanDownloader.Zlob.AGA


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:



 Fichiers  Il crée le répertoire suivant:
   • %PROGRAM FILES%\PornPass Manager



Les fichiers suivants sont créés:

%PROGRAM FILES%\PornPass Manager\pornpassmanager.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Zlob.65745.9

%PROGRAM FILES%\PornPass Manager\uninst.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Zlob.65745.9

%PROGRAM FILES%\PornPass Manager\PornPassManager.exe.manifest
%PROGRAM FILES%\PornPass Manager\PornPass Manager.url



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://85.255.118.2/ultra/php/install/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\laf%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://yourguardonline.biz/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://85.255.118.2/ultra/php/install/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\laf%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre La valeur de la clé de registre suivante est supprimée:

–  [HKCU\Software\Internet Security]
   • "65010"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   PornPass Manager]
   • "ProductionEnvironment"="1"
   • "DisplayName"="PornPass Manager 5.0"
   • "UninstallString"="%PROGRAM FILES%\PornPass Manager\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\PornPass Manager\uninst.exe"
   • "DisplayVersion"="5.0"
   • "URLInfoAbout"="http://www.pornpassmanager.com"
   • "Publisher"="PornPass Manager Inc."

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000001
   • "Path"="%PROGRAM FILES%\PornPass Manager"
   • "Removable"=dword:00000000
   • "65005"=dword:00000001

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Adriana Popa le mardi 5 décembre 2006
Description mise à jour par Adriana Popa le mardi 5 décembre 2006

Retour . . . .