Nom:TR/Dldr.Winlagons.BN
La date de la découverte:07/04/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:3.009 Octets
Somme de contrôle MD5:a018dc8d6710e1511c1a26d27c2e8b93
Version IVDF:7.00.03.123 - lundi 7 avril 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Winlagons.bn
   •  F-Secure: Trojan-Downloader.Win32.Winlagons.bn
   •  Eset: Win32/TrojanDownloader.Tiny.NJ trojan
   •  Bitdefender: Trojan.Downloader.Tipikit.F


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://58.65.239.115/**********/tpktskr2.php
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\jhwqzy.tmp Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://58.65.239.42/**********/gdk5.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\iegm563.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen


– L'emplacement est le suivant:
   • http://58.65.239.42/**********/wejhfds.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\iegm563.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Zhelatin.YO.165

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Google Online Services]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%le dossier d'exécution du malware%\%le fichier exécuté%
     "DisplayName"="Google Online Services"
     "ObjectName"="LocalSystem"

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Thomas Wegele le jeudi 15 mai 2008
Description mise à jour par Thomas Wegele le jeudi 15 mai 2008

Retour . . . .