TR/Dldr.TComBill.M - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.TComBill.M
La date de la découverte:	23/02/2006
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	9.728 Octets
Somme de contrôle MD5:	a6ee10c4f134f1e96b6b5ea74b31c70c
Version VDF:	6.33.01.20

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Downloader.Win32.Small.cil
   • Bitdefender: Trojan.SickleBot.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier
   • Il crée un fichier malveillant

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\%le fichier exécuté%.exe

Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– %SYSDIR%\sysldr.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.DLL

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://www.servicedwt.com/model/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\l.exe Détecté comme: TR/PSW.Agent.fl.DLL

Registre La valeur de la clé de registre suivante est supprimée:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysldr"

Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "sysldr"="%le CLSID généré%"

– [HKCR\CLSID\%le CLSID généré%\InprocServer32]
   • "@"="sysldr.dll"

Porte dérobée Serveur de contact:
Le suivant:
• umbura.com/**********

En conséquence la possibilité de contrôle à distance est fournie. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Capacités d'accès à distance:
• Télécharger un fichier

Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
• SickleBot

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Alexander Vukcevic sur Thu, 23 Feb 2006 10:54 (GMT+1)
Description mise à jour par Andrei Ivanes sur Fri, 24 Feb 2006 18:03 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour