Nume:TR/Dldr.Banload.aoo.62
Descoperit pe data de:27/11/2006
Tip:Troian
Subtip:Downloader
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:207.360 Bytes
MD5:6ff39a81cf318ca465a1460349bfd2a6
Versiune VDF:6.36.00.146
Versiune IVDF:6.36.00.163 - mercoledì 25 ottobre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: PWS-Banker.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Banload.aoo
   •  Grisoft: Downloader.Generic2.UIW
   •  Eset: Win32/TrojanDownloader.Banload.AOO


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wzip32.exe




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.yourmaclife.com/forum/includes/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\$$$.temp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresele sunt urmatoarele:
   • http://www.kosova.ch/share/files/132/**********
   • http://www.bulk-upload.com/files/19/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinZip"="\"%SYSDIR%\wzip32.exe\""



Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]


Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
   • @=""

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}\InprocServer32]
   • @="%SYSDIR%\mpeg4dec0.dll"
   • "ThreadingModel"="Apartment"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PC Shrinker

Descrizione inserita da Monica Ghitun su martedì 28 novembre 2006
Descrizione aggiornata da Monica Ghitun su martedì 28 novembre 2006

Indietro . . . .