Nome del virus:TR/Dldr.Banload.aoo.62
Scoperto:27/11/2006
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:207.360 Byte
Somma di controllo MD5:6ff39a81cf318ca465a1460349bfd2a6
Versione VDF:6.36.00.146
Versione IVDF:6.36.00.163 - mercoledì 25 ottobre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: PWS-Banker.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Banload.aoo
   •  Grisoft: Downloader.Generic2.UIW
   •  Eset: Win32/TrojanDownloader.Banload.AOO


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\wzip32.exe




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.yourmaclife.com/forum/includes/**********
Viene salvato in locale sotto: %TEMPDIR%\$$$.temp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– Le posizioni sono le seguenti:
   • http://www.kosova.ch/share/files/132/**********
   • http://www.bulk-upload.com/files/19/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinZip"="\"%SYSDIR%\wzip32.exe\""



Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]


Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
   • @=""

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}\InprocServer32]
   • @="%SYSDIR%\mpeg4dec0.dll"
   • "ThreadingModel"="Apartment"

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PC Shrinker

Descrizione inserita da Monica Ghitun su martedì 28 novembre 2006
Descrizione aggiornata da Monica Ghitun su martedì 28 novembre 2006

Indietro . . . .