Nome del virus:TR/Drop.Agent.nnu
Scoperto:16/12/2008
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:155.221 Byte
Somma di controllo MD5:18afd000f7d38503b52bd706771cb79e
Versione IVDF:7.01.00.238 - martedì 16 dicembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Trojan.Pandex
   •  Grisoft: Dropper.Small.AGG
   •  Bitdefender: Packer.Malware.NSAnti.1


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\zhido.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\cao220.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen

%SYSDIR%\cao110.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.OnLineGa.dct

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • zhido="%SYSDIR%\zhido.exe"

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su martedì 16 dicembre 2008
Descrizione aggiornata da Thomas Wegele su martedì 16 dicembre 2008

Indietro . . . .