Nome del virus:TR/Drop.Small.ue.11
Scoperto:15/09/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:14.336 Byte
Somma di controllo MD5:645063cc02e5ebf5dd50f34483c81f74
Versione VDF:6.31.1.58

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  TrendMicro: TROJ_SMALL.ANG
   •  F-Secure: W32/Dropper.ADV
   •  VirusBuster: Trojan.DR.Small.ZQ1
   •  Bitdefender: Dropped:Trojan.Downloader.2591.E


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”

 File Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\tmp%stringa casuale di due caratteri%.tmp

%TEMPDIR%\tmp%stringa casuale di due caratteri%.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://www.**********.us/backgr.jppg
   • http://www.**********.us/backgr1.jppg
   • http://www.**********.us/backgr2.jppg
   • http://www.**********.us/backgr3.jppg
   • http://**********.net/backgr.jppg
   • http://**********.net/backgr1.jppg
   • http://**********.net/backgr2.jppg
   • http://**********.net/backgr3.jppg
   • http://**********.hbhosting.com/backgr.jppg
   • http://**********.hbhosting.com/backgr1.jppg
   • http://**********.hbhosting.com/backgr2.jppg
   • http://**********.hbhosting.com/backgr3.jppg
Al momento dell'analisi questo file non era più disponibile.

 Backdoor Contatta il server:
Il seguente:
   • **********.171.45\count.php

Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.yahoo.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Catalin Jora su giovedì 15 settembre 2005
Descrizione aggiornata da Catalin Jora su mercoledì 21 settembre 2005

Indietro . . . .