Nume:TR/Hijack.Explor.687
Descoperit pe data de:03/11/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:115.712 Bytes
MD5:917bf66378af965035c5a17b098978a7
Versiune VDF:6.36.00.146
Versiune IVDF:6.36.00.163 - mercoledì 25 ottobre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Delf.tl
   •  Eset: Win32/PSW.Delf.NDL
   •  Bitdefender: Win32.ExplorerHijack


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • C:\gameload.dll
   • %WINDIR%\love.exe



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • C:\ali.html

– %WINDIR%\winctrlc.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: 2686

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "startup"="%WINDIR%\love.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "dumbnod"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
   • "myloc"="startup"

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %WINDIR%\winctrlc.dll

    Numele procesului:
   • iexplore.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Monica Ghitun su venerdì 3 novembre 2006
Descrizione aggiornata da Monica Ghitun su lunedì 20 novembre 2006

Indietro . . . .