Nome del virus:TR/Drop.Multid.BO.2
Scoperto:16/09/2005
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:22.009 Byte
Somma di controllo MD5:a65177d85f259563e57b84fae106dbe0
Versione VDF:6.31.1.224

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Proxy-FBSR
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.z
   •  VirusBuster: Trojan.PR.Ranck.GK
   •  Bitdefender: Trojan.Proxy.Ranky.Z


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sxcasdwqas"="%directory di esecuzione del malware%\feelike.exe"

 Backdoor Le seguenti porte sono aperte:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server proxy.
%file eseguiti% su una porta UDP casuale


Contatta il server:
Tutti i seguenti:
   • rogerr.homeunix.net/b.php
   • vcdf.hopto.org/b.php
   • raharah.bounceme.net/b.php
   • a70.shacknet.nu/b.php
   • roger.bounceme.net/b.php

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
La risposta dei server è scritta nel file: %directory di esecuzione del malware%\Wooked


Invia informazioni riguardanti:
    • Porta aperta

 Varie Mutex:
Crea il seguente Mutex:
   • Sdwqsdghq

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW 11 1.2

Descrizione inserita da Victor Tone su domenica 18 settembre 2005
Descrizione aggiornata da Victor Tone su venerdì 23 settembre 2005

Indietro . . . .