Nome del virus:TR/Dldr.FraudLoa.GT
Scoperto:21/10/2008
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:~ 100.000 Byte
Versione IVDF:7.00.06.67

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: not-a-virus:FraudTool.Win32.SecureExpertCleaner.k
   •  Sophos: Troj/FakeVir-EO
   •  Grisoft: Fake_AntiSpyware.ABH


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Modifica del registro

 File Prova a scaricare un file:

– La posizione è la seguente:
   • http://download.secureexpertcleaner.com/**********Cleaner_de.exe
Viene salvato in locale sotto: %TEMPDIR%\ProductPath\runbst.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/Fraud.SecureExpC

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SecureExpertCleanerDownloader="%file eseguiti%"



Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\SecureExpertCleanerDownloader]
   • EulaShowed=hex:%valori esadecimali%
   • TotalSize=hex:%valori esadecimali%
   • SeekPos=hex:%valori esadecimali%

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Thomas Wegele su martedì 11 novembre 2008
Descrizione aggiornata da Thomas Wegele su martedì 11 novembre 2008

Indietro . . . .