Nume:TR/Dldr.Small.DBX
Numar CME: 711
Descoperit pe data de:19/01/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Ridicat
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:29.347 Bytes
Versiune VDF:6.37.00.172
Versiune IVDF:6.37.00.188 - vendredi 19 janvier 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Downloader-BAI
   •  Kaspersky: Trojan-Downloader.Win32.Small.dam
   •  F-Secure: Trojan-Downloader.Win32.Small.dam
   •  Eset: Win32/Nuwar.Q


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– %SYSDIR%\wincom32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Small.DBX

– %SYSDIR%\peers.ini Contine parametri folositi de malware.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32]
   • Type = dword:00000001
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = \??\%SYSDIR%\wincom32.sys
   • DisplayName = wincom32

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Enum]
   • 0 = Root\LEGACY_WINCOM32\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

 Backdoor Deschide portul

– services.exe pe portul UDP 4000


Servere contactate:
Urmatoarele:
   • 172.204.216.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 84.63.5.**********:4000 (UDP)
   • 213.26.213.**********:4000 (UDP)
   • 161.53.166.**********:4000 (UDP)
   • 82.238.79.**********:4000 (UDP)
   • 83.254.68.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 172.186.14.**********:4000 (UDP)
   • 213.17.173.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 83.16.44.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.237.146.**********:4000 (UDP)
   • 82.207.217.**********:4000 (UDP)
   • 62.112.100.**********:4000 (UDP)
   • 59.12.212.**********:4000 (UDP)
   • 219.90.148.**********:4000 (UDP)
   • 85.10.196.**********:4000 (UDP)
   • 81.220.35.**********:4000 (UDP)
   • 82.158.63.**********:4000 (UDP)
   • 81.10.164.**********:4000 (UDP)
   • 90.12.109.**********:4000 (UDP)
   • 85.17.45.**********:4000 (UDP)
   • 72.36.146.**********:4000 (UDP)
   • 147.102.7.**********:4000 (UDP)
   • 80.6.173.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 67.68.2.**********:4000 (UDP)
   • 193.225.227.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 212.186.89.**********:4000 (UDP)
   • 81.220.203.**********:4000 (UDP)
   • 213.222.12.**********:4000 (UDP)
   • 213.22.207.**********:4000 (UDP)
   • 88.191.36.**********:4000 (UDP)
   • 84.162.164.**********:4000 (UDP)
   • 64.124.113.**********:4000 (UDP)
   • 209.6.132.**********:4000 (UDP)
   • 62.75.178.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 80.82.17.**********:4000 (UDP)
   • 82.149.10.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 84.180.227.**********:4000 (UDP)
   • 82.83.135.**********:4000 (UDP)
   • 141.20.150.**********:4000 (UDP)
   • 61.229.45.**********:4000 (UDP)
   • 87.174.66.**********:4000 (UDP)
   • 157.158.10.**********:4000 (UDP)
   • 62.149.0.**********:4000 (UDP)
   • 212.186.70.**********:4000 (UDP)
   • 65.199.174.**********:4000 (UDP)
   • 86.205.176.**********:4000 (UDP)
   • 84.100.195.**********:4000 (UDP)
   • 88.134.153.**********:4000 (UDP)
   • 82.134.38.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 91.121.3.**********:4000 (UDP)
   • 206.116.198.**********:4000 (UDP)
   • 88.191.30.**********:4000 (UDP)
   • 59.16.155.**********:4000 (UDP)
   • 82.238.101.**********:4000 (UDP)
   • 88.191.27.**********:4000 (UDP)
   • 83.20.130.**********:4000 (UDP)
   • 84.123.4.**********:4000 (UDP)
   • 200.68.82.**********:4000 (UDP)
   • 222.100.21.**********:4000 (UDP)
   • 193.42.213.**********:4000 (UDP)
   • 84.97.223.**********:4000 (UDP)
   • 207.226.112.**********:4000 (UDP)
   • 83.149.74.**********:4000 (UDP)
   • 62.4.83.**********:4000 (UDP)
   • 142.161.105.**********:4000 (UDP)
   • 212.122.104.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 147.83.119.**********:4000 (UDP)
   • 82.82.82.**********:4000 (UDP)
   • 202.160.12.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.58.91.**********:4000 (UDP)
   • 84.58.146.**********:4000 (UDP)
   • 82.84.181.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 213.80.170.**********:4000 (UDP)
   • 194.242.112.**********:4000 (UDP)
   • 217.147.37.**********:4000 (UDP)
   • 83.149.73.**********:4000 (UDP)
   • 66.172.60.**********:4000 (UDP)
   • 87.11.63.**********:4000 (UDP)
   • 189.140.92.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 81.168.178.**********:4000 (UDP)
   • 83.15.100.**********:4000 (UDP)
   • 84.162.255.**********:4000 (UDP)
   • 195.47.195.**********:4000 (UDP)
   • 69.245.185.**********:4000 (UDP)
   • 213.97.180.**********:4000 (UDP)
   • 212.241.66.**********:4000 (UDP)
   • 218.156.203.**********:4000 (UDP)
   • 61.78.66.**********:4000 (UDP)
   • 90.16.228.**********:4000 (UDP)
   • 212.203.143.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 213.133.111.**********:4000 (UDP)
   • 83.25.129.**********:4000 (UDP)
   • 80.53.63.**********:4000 (UDP)

Odata conectat, descarca o alta lista de servere.
Astfel se pot transmite informatii si se poate obtine control la distanta.

Posibilitati de control la distanta:
    • descarcare fisier

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le vendredi 19 janvier 2007
Description mise à jour par Andrei Gherman le lundi 22 janvier 2007

Retour . . . .