Nome del virus:TR/TComBill.O
Scoperto:21/04/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:10.240 Byte
Somma di controllo MD5:79a56b6e3fdaf3d7fa6950e754cfa348
Versione VDF:6.34.00.214

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Small.coq
   •  TrendMicro: TROJ_DLOADER.DAY
   •  Bitdefender: Trojan.Downloader.Small.COQ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\sysldr.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/TComBill.O.2

 Registro Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • sysldr



Viene aggiunta la seguente chiave di registro:

– [HKCR\CLSID\{%CLSID generato%}\InprocServer32]
   • @ = sysldr.dll



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   Nuovo valore:
   • sysldr = {%CLSID generato%}

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://dynafilmes.com.br/imagens/**********
   • http://soloaguia.com/imagens/**********
   • http://www.chiefmar.com/Images/**********
   • http://www.computerideasrl.it/immagini/**********
   • http://www.barpel.it/images/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file
    • Eseguire file

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\sysldr.dll

    Nome del processo:
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su martedì 25 aprile 2006
Descrizione aggiornata da Andrei Gherman su martedì 25 aprile 2006

Indietro . . . .