Nome del virus:TR/Dldr.Exchanger.W
Scoperto:23/09/2008
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:30.208 Byte
Somma di controllo MD5:5999ab88560bcb054e73e4f7a4e7f1e7
Versione IVDF:7.00.06.199 - martedì 23 settembre 2008

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Panda: Trj/Agent.MFB
   •  Eset: Win32/AutoRun.FakeAlert.M
   •  Bitdefender: Win32.Worm.Autorun.OG


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe
   • %unità disco%\system.exe



Sovrascrive un file.
%SYSDIR%\drivers\aec.sys



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://druzg.ru/**********?v=1&rs=4230819808&n=1&uid=1
   • http://drizg.ru/**********?v=1&rs=4230819808&n=1&uid=1
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Come il virus si inserisce nei processi – Si inserisce come thread in un processo.

    Tutti i seguenti processi:
   • explorer.exe
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 26 febbraio 2010
Descrizione aggiornata da Petre Galan su lunedì 1 marzo 2010

Indietro . . . .