Nome del virus:TR/Dldr.Harnig.BD.1
Scoperto:10/04/2006
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:5.637 Byte
Somma di controllo MD5:9aa32c86cd9a164e4bf1b3eebf187c73
Versione VDF:6.34.00.165

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Harnig.bd
   •  TrendMicro: TROJ_DLOADER.COH
   •  Bitdefender: Trojan.Downloader.Small.YU


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Scarica file “maligni”
   • Abbassa le impostazioni di sicurezza

 File Prova a scaricare dei file:

– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\uniq

– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\kl1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Sinowal.H


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\tool2.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/Hoax.Renos.AG


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\country.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Killav.DB.2


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: %PROGRAM FILES%\secure32.html

– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: %PROGRAM FILES%\paytime.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/StartPage.adi.7


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\toolbar.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Killav.DB.2


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\tool1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Proxy.Small.BO.Dldr


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\tool3.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Tiny.AP.3


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\tool4.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Proxy.Small.BO.18


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\tool5.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Click.Small.KR


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\ms1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.S.CJG.325.D


– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: %WINDIR%\Hosts

– La posizione è la seguente:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Viene salvato in locale sotto: c:\uniq

 Registro  La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • [HKLM\CurrentControlSet\Services\SharedAccess]

 Processi terminati  Il seguente servizio viene disattivato:
   • Windows Firewall/Internet Connection Sharing (ICS)

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Andrei Ivanes su mercoledì 12 aprile 2006
Descrizione aggiornata da Andrei Gherman su giovedì 13 aprile 2006

Indietro . . . .