Nom:TR/Zlob.65745.7
La date de la découverte:25/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:82.528 Octets
Somme de contrôle MD5:1a9aee5d6c192efb9d5530f9168c8512
Version VDF:6.36.00.166
Version IVDF:6.36.00.184 - lundi 30 octobre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.asq
   •  Eset: Win32/TrojanDownloader.Zlob.AGA


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:



 Fichiers  Il crée le répertoire suivant:
   • %PROGRAM FILES%\PornMag Pass



Les fichiers suivants sont créés:

%PROGRAM FILES%\PornMag Pass\PornMagPass.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Zlob.65745.7

%PROGRAM FILES%\PornMag Pass\uninst.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Zlob.65745.7

%PROGRAM FILES%\PornMag Pass\PornMag Pass.url



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://85.255.118.2/ultra/php/install/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\laf%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://yourguardonline.biz/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://85.255.118.2/ultra/php/install/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\laf%numéro hexadécimal%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre La valeur de la clé de registre suivante est supprimée:

–  [HKCU\Software\Internet Security]
   • "65010"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   PornMag Pass]
   • "ProductionEnvironment"="1"
   • "DisplayName"="PornMag Pass 1.0"
   • "UninstallString"="%PROGRAM FILES%\PornMag Pass\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\PornMag Pass\uninst.exe"
   • "DisplayVersion"="1.0"
   • "URLInfoAbout"="http://www.pornmagpass.com"
   • "Publisher"="PornMag Pass Inc."

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000001
   • "Path"="%PROGRAM FILES%\PornMag Pass"
   • "Removable"=dword:00000000
   • "65005"=dword:00000001

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Adriana Popa le mercredi 6 décembre 2006
Description mise à jour par Adriana Popa le mercredi 6 décembre 2006

Retour . . . .