Nome del virus:TR/Drop.LdPinch.dvx
Scoperto:23/10/2007
Tipo:Trojan
Sottotipo:Dropper / Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:28.672 Byte
Somma di controllo MD5:67f88bf5ae4a4c64dbee3de00Dc8fc0C
Versione IVDF:7.0.0.125

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Spy-Agent.bg
   •  Eset: Win32/PSW.LdPinch.DVX trojan


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Clona un file “maligno”

 File Si copia alla seguente posizione:
   • %WINDIR%\9129837.exe



Vengono creati i seguenti file:

%WINDIR%\new_drv.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: RKIT/LdPinch.dvx

– c:\abcdefg.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ttool
   • %WINDIR%\9129837.exe



Viene aggiunta la seguente chiave di registro:

– HKCU\Software\Microsoft\InetData
   • k1=dword:336602d5
   • k2=dword:4337c861
   • version="951"

 Backdoor Contatta il server:
Il seguente:
   • http://**********/cgi-bin/options.cgi?user_id=165549058&version_id=951&passphrase=fkjvhsdvlksdhvlsd&socks=3633&version=124&crc=00000000

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.

Descrizione inserita da Lutz Koch su martedì 23 ottobre 2007
Descrizione aggiornata da Lutz Koch su mercoledì 24 ottobre 2007

Indietro . . . .