Nome del virus:TR/Dldr.Small.agq.4
Scoperto:26/09/2005
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:4.477 Byte
Somma di controllo MD5:f858bcfec28369d83492a5d406ecf60c
Versione VDF:6.31.1.64

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-AZV
   •  Kaspersky: Trojan-Downloader.Win32.Small.bov
   •  Sophos: Troj/Vixup-Gen
   •  Bitdefender: Trojan.Downloader.Small.AMA


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”

 File Si copia alla seguente posizione:
   • %SYSDIR%\kernels32.exe



Viene creato il seguente file:

– File “non maligno”:
   • %SYSDIR%\vx.tll




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://**********/adverts/progs/search.exe
Viene salvato in locale sotto: %SYSDIR%\vxh8jkdq1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: 547


– La posizione è la seguente:
   • http://**********/adverts/progs/winlogon.exe
Viene salvato in locale sotto: %SYSDIR%\vxh8jkdq2.exe

– La posizione è la seguente:
   • http://**********/adverts/progs/tibs.exe
Viene salvato in locale sotto: %SYSDIR%\vxh8jkdq5.exe

– La posizione è la seguente:
   • http://**********/adverts/progs/tool.exe
Viene salvato in locale sotto: %SYSDIR%\vxh8jkdq6.exe

– La posizione è la seguente:
   • http://**********/adverts/progs/proxy.exe
Viene salvato in locale sotto: %SYSDIR%\vxh8jkdq7.exe

– La posizione è la seguente:
   • http://**********/adverts/progs/search.exe
Viene salvato in locale sotto: %SYSDIR%\vxh8jkdq8.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System" = "%SYSDIR%\kernels32.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001



Viene cambiata la seguente chiave di registro:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell" = "Explorer.exe"
   Nuovo valore:
   • "Shell" = "Explorer.exe %SYSDIR%\kernels32.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://**********/adverts/039/adload.php
   • http://**********/adverts/039/aduniq.php?vx1=%stringa di caratteri casuale%

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG 2.0

Descrizione inserita da Alexandru Tudor su martedì 27 settembre 2005
Descrizione aggiornata da Alexandru Tudor su venerdì 30 settembre 2005

Indietro . . . .