Descrizione completa

Nome del virus:	TR/Dldr.Small.DBX
Numero CME:	711
Scoperto:	19/01/2007
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Alto
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	No
Dimensione del file:	29.347 Byte
Versione VDF:	6.37.00.172
Versione IVDF:	6.37.00.188 - venerdì 19 gennaio 2007

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Downloader-BAI
   • Kaspersky: Trojan-Downloader.Win32.Small.dam
   • F-Secure: Trojan-Downloader.Win32.Small.dam
   • Eset: Win32/Nuwar.Q

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

File Vengono creati i seguenti file:

– %SYSDIR%\wincom32.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Drop.Small.DBX

– %SYSDIR%\peers.ini Contiene parametri utilizzati dal malware.

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32]
   • Type = dword:00000001
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = \??\%SYSDIR%\wincom32.sys
   • DisplayName = wincom32

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Security]
   • Security = %valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Enum]
   • 0 = Root\LEGACY_WINCOM32\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

Backdoor Viene aperta la seguente porta:

– services.exe sulla porta UDP 4000

Contatta il server:
Tutti i seguenti:
   • 172.204.216.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 84.63.5.**********:4000 (UDP)
   • 213.26.213.**********:4000 (UDP)
   • 161.53.166.**********:4000 (UDP)
   • 82.238.79.**********:4000 (UDP)
   • 83.254.68.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 172.186.14.**********:4000 (UDP)
   • 213.17.173.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 83.16.44.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.237.146.**********:4000 (UDP)
   • 82.207.217.**********:4000 (UDP)
   • 62.112.100.**********:4000 (UDP)
   • 59.12.212.**********:4000 (UDP)
   • 219.90.148.**********:4000 (UDP)
   • 85.10.196.**********:4000 (UDP)
   • 81.220.35.**********:4000 (UDP)
   • 82.158.63.**********:4000 (UDP)
   • 81.10.164.**********:4000 (UDP)
   • 90.12.109.**********:4000 (UDP)
   • 85.17.45.**********:4000 (UDP)
   • 72.36.146.**********:4000 (UDP)
   • 147.102.7.**********:4000 (UDP)
   • 80.6.173.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 67.68.2.**********:4000 (UDP)
   • 193.225.227.**********:4000 (UDP)
   • 85.118.37.**********:4000 (UDP)
   • 212.186.89.**********:4000 (UDP)
   • 81.220.203.**********:4000 (UDP)
   • 213.222.12.**********:4000 (UDP)
   • 213.22.207.**********:4000 (UDP)
   • 88.191.36.**********:4000 (UDP)
   • 84.162.164.**********:4000 (UDP)
   • 64.124.113.**********:4000 (UDP)
   • 209.6.132.**********:4000 (UDP)
   • 62.75.178.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 80.82.17.**********:4000 (UDP)
   • 82.149.10.**********:4000 (UDP)
   • 66.186.194.**********:4000 (UDP)
   • 84.180.227.**********:4000 (UDP)
   • 82.83.135.**********:4000 (UDP)
   • 141.20.150.**********:4000 (UDP)
   • 61.229.45.**********:4000 (UDP)
   • 87.174.66.**********:4000 (UDP)
   • 157.158.10.**********:4000 (UDP)
   • 62.149.0.**********:4000 (UDP)
   • 212.186.70.**********:4000 (UDP)
   • 65.199.174.**********:4000 (UDP)
   • 86.205.176.**********:4000 (UDP)
   • 84.100.195.**********:4000 (UDP)
   • 88.134.153.**********:4000 (UDP)
   • 82.134.38.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 91.121.3.**********:4000 (UDP)
   • 206.116.198.**********:4000 (UDP)
   • 88.191.30.**********:4000 (UDP)
   • 59.16.155.**********:4000 (UDP)
   • 82.238.101.**********:4000 (UDP)
   • 88.191.27.**********:4000 (UDP)
   • 83.20.130.**********:4000 (UDP)
   • 84.123.4.**********:4000 (UDP)
   • 200.68.82.**********:4000 (UDP)
   • 222.100.21.**********:4000 (UDP)
   • 193.42.213.**********:4000 (UDP)
   • 84.97.223.**********:4000 (UDP)
   • 207.226.112.**********:4000 (UDP)
   • 83.149.74.**********:4000 (UDP)
   • 62.4.83.**********:4000 (UDP)
   • 142.161.105.**********:4000 (UDP)
   • 212.122.104.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 147.83.119.**********:4000 (UDP)
   • 82.82.82.**********:4000 (UDP)
   • 202.160.12.**********:4000 (UDP)
   • 216.151.155.**********:4000 (UDP)
   • 82.58.91.**********:4000 (UDP)
   • 84.58.146.**********:4000 (UDP)
   • 82.84.181.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 213.80.170.**********:4000 (UDP)
   • 194.242.112.**********:4000 (UDP)
   • 217.147.37.**********:4000 (UDP)
   • 83.149.73.**********:4000 (UDP)
   • 66.172.60.**********:4000 (UDP)
   • 87.11.63.**********:4000 (UDP)
   • 189.140.92.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 154.37.66.**********:4000 (UDP)
   • 81.168.178.**********:4000 (UDP)
   • 83.15.100.**********:4000 (UDP)
   • 84.162.255.**********:4000 (UDP)
   • 195.47.195.**********:4000 (UDP)
   • 69.245.185.**********:4000 (UDP)
   • 213.97.180.**********:4000 (UDP)
   • 212.241.66.**********:4000 (UDP)
   • 218.156.203.**********:4000 (UDP)
   • 61.78.66.**********:4000 (UDP)
   • 90.16.228.**********:4000 (UDP)
   • 212.203.143.**********:4000 (UDP)
   • 213.251.132.**********:4000 (UDP)
   • 213.133.111.**********:4000 (UDP)
   • 83.25.129.**********:4000 (UDP)
   • 80.53.63.**********:4000 (UDP)

Una volta connesso recupera una lista di server supplementare.
Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Capacità di controllo remoto:
    • Download di file

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 19 gennaio 2007
Descrizione aggiornata da Andrei Gherman su lunedì 22 gennaio 2007

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti