Nume:TR/Spy.Vundo.AF
Descoperit pe data de:23/03/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:281.652 Bytes
Versiune VDF:6.37.01.147
Versiune IVDF:6.37.01.154 - venerdì 23 febbraio 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Grisoft: Downloader.Zlob.FC


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.tmp
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID generate%}]


Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %dll malware%]
   • Asynchronous = dword:00000001
   • DllName = %directorul de activare malware%\%dll malware%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%CLSID generate%}]

– [HKCR\CLSID\{%CLSID generate%}\InprocServer32]
   • @ = %directorul de activare malware%\%dll malware%
   • ThreadingModel = Both

 Backdoor Servere contactate:
Urmatorul:
   • http://white**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Andrei Gherman su martedì 13 marzo 2007
Descrizione aggiornata da Andrei Gherman su martedì 13 marzo 2007

Indietro . . . .