Nume:TR/Vundo.AH
Descoperit pe data de:05/03/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~282.212 Bytes
Versiune VDF:6.37.01.191
Versiune IVDF:6.37.01.197 - lundi 5 mars 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.tmp
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • Browser Helper Objects\{%CLSID generate%}]



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %dll malware%]
   • Asynchronous = dword:00000001
   • DllName = %directorul de activare malware%\%dll malware%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%CLSID generate%}]
– [HKCR\CLSID\{%CLSID generate%}\InprocServer32]
   • @ = %directorul de activare malware%\%dll malware%
   • ThreadingModel = Both

 Backdoor Servere contactate:

   • http://whitesc**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Cristian Dobre le lundi 19 mars 2007
Description mise à jour par Andrei Gherman le lundi 19 mars 2007

Retour . . . .