Nome del virus:TR/Dldr.Zlob.AT.18
Scoperto:16/08/2010
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:199.680 Byte
Somma di controllo MD5:895fd6a6c3cb2614ced6b8abe7ae9bef
Versione IVDF:7.10.10.203 - martedì 17 agosto 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Heuristic.BehavesLike.Win32.Suspicious.H
   •  F-Secure: Suspicious:W32/Malware!Gemini
   •  Sophos: Mal/FakeAV-CX
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Trojan/Win32.FakeAV
   •  DrWeb: Trojan.DownLoader1.15964


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\Uvehia.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%WINDIR%\Tasks\%CLSID%.job Viene eseguito ulteriormente dopo che è stato completamente creato. Il file è un task pianificato che esegue il malware in certe ore predefinite.

 Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\%stringa di caratteri casuale%]


Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Disable Script Debugger"="yes"

Descrizione inserita da Carlos Valero Llabata su mercoledì 18 agosto 2010
Descrizione aggiornata da Carlos Valero Llabata su mercoledì 18 agosto 2010

Indietro . . . .