Nome del virus:TR/Dldr.Tcom.1
Scoperto:19/07/2005
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:5.632 Byte
Somma di controllo MD5:8e3cf147f6d642b4e0808cec743d856e
Versione VDF:6.31.0.234

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Download.Trojan
   •  Mcafee: Downloader-ACS
   •  Kaspersky: Trojan-Downloader.Win32.Murlo.as
   •  TrendMicro: TROJ_VIDLO.K
   •  Sophos: Troj/Vidlo-R
   •  VirusBuster: Trojan.DL.Vidlo.H


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\%file eseguiti%



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %directory di esecuzione del malware%\a.bat



Vengono creati i seguenti file:

%directory di esecuzione del malware%\a.bat Questo è un file di testo “non maligno” con il seguente contenuto:
   • :l
     del %1
     if exist %1 goto l
     del %0

%SYSDIR%\dllsys.dll



Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • http://www.**********.net/images/2.exe
   • http://www.**********.ru/eshop/sys/2.exe
   • http://**********.com.ua/files/2.exe
   • http://www.**********.ru/test/pics/2.exe
   • http://**********/unix/2.exe
Viene salvato in locale sotto: %HOME%\local settings\temporary internet files Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Tcom.2


– Le posizioni sono le seguenti:
   • http://www.**********.net/images/3.exe
   • http://www.**********.ru/eshop/sys/3.exe
   • http://**********.com.ua/files/3.exe
   • http://www.**********.ru/test/pics/3.exe
   • http://**********/unix/3.exe
Viene salvato in locale sotto: %HOME%\local settings\temporary internet files Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\software\microsoft\windows\currentversion\run\]
   • "winldr"="%WINDIR%\%file eseguiti%"

Descrizione inserita da Sergiu Oprea su mercoledì 3 agosto 2005
Descrizione aggiornata da Sergiu Oprea su venerdì 26 agosto 2005

Indietro . . . .