Nome del virus:TR/Monder.33280.1
Scoperto:12/06/2008
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:33.280 Byte
Somma di controllo MD5:d88afa5a154d9531f29f80af8271a2a3
Versione IVDF:7.00.04.184 - giovedì 12 giugno 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Monder.gen
   •  F-Secure: Trojan.Win32.Monder.gen
   •  Grisoft: Vundo.T
   •  Eset: Win32/Adware.Virtumonde application

Individuazione simile:
   •  TR/Monder.%numero%


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa di caratteri casuale%.dll



Cancella la copia di se stesso eseguita inizialmente.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %stringa di caratteri casuale%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%dll del malware%
   • "Impersonate"=dword:00000000
   • "Logon"="o"
   • "Logoff"="f"

– [HKCR\CLSID\%CLSID generato%\InprocServer32]
   • @=" %SYSDIR%\%dll del malware%"
   • "ThreadingModel"="Both"

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://82.98.235.**********
   • http://65.243.103.**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su mercoledì 18 giugno 2008
Descrizione aggiornata da Thomas Wegele su mercoledì 18 giugno 2008

Indietro . . . .