Nom:TR/Dldr.Small.euo
La date de la découverte:21/08/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:41.476 Octets
Somme de contrôle MD5:889cce4c4ca62c59da2dd397f1b737cd
Version IVDF:7.00.06.46 - jeudi 21 août 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Pakes.kdi
   •  F-Secure: Trojan.Win32.Pakes.kdi
   •  Sophos: Troj/Dwnldr-HHB
   •  Panda: Trj/Downloader.UML
   •  VirusBuster: Trojan.Pakes.DJO
   •  Bitdefender: Trojan.Downloader.JKNS


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://any-pictures.com/**********/item_fdfgi.gif
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\1.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.Agent.eae


– L'emplacement est le suivant:
   • http://bigimagecatalogue.com/**********/hrtzqczuuff.gif
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\2.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Agent.ryn

 Registre – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Somefox"="%le dossier d'exécution du malware%\%le fichier exécuté%"



Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:%numéro hexadécimal%

– [HKLM\SOFTWARE\Mozilla\Somefox]
   • "Str4265778"="mg=="
   • "Str4"=""
   • "Str1"="%chaîne de caractères aléatoire%"
   • "Str0"="%chaîne de caractères aléatoire%"
   • "Int2"=dword:%numéro hexadécimal%
   • "Int3"=dword:%numéro hexadécimal%

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PECompact

Description insérée par Andreas Feuerstein le mercredi 17 décembre 2008
Description mise à jour par Andreas Feuerstein le mercredi 17 décembre 2008

Retour . . . .