TR/Dldr.RO.1.A - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.RO.1.A
Scoperto:	08/08/2005
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Basso
File statico:	Si
Dimensione del file:	3.413 Byte
Somma di controllo MD5:	C5FAF94C1EF23E69CBDD36B93F7957E3
Versione VDF:	6.31.1.48

Generale    • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Downloader.Trojan
   • Kaspersky: Troj/Dloader-RO
   • Sophos: Troj/Dloader-RO

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

File Prova a scaricare dei file:

– La posizione è la seguente:
   • http://85.255.**********/troys/kl.txt
Viene salvato in locale sotto: %WINDIR%\kl.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Smal.vg.6.A

– La posizione è la seguente:
   • http://85.255.**********/troys/tool1.txt
Viene salvato in locale sotto: %WINDIR%\tool1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/tool2.txt
Viene salvato in locale sotto: %WINDIR%\tool2.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/tool3.txt
Viene salvato in locale sotto: %WINDIR%\tool3.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/tibs.php
Viene salvato in locale sotto: %WINDIR%\tibs.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/paytime.txt
Viene salvato in locale sotto: %WINDIR%\paytime.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/paydial.txt
Viene salvato in locale sotto: %WINDIR%\paydial.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/newdial.txt
Viene salvato in locale sotto: %WINDIR%\newdial.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/ms1.txt
Viene salvato in locale sotto: %WINDIR%\ms1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/ms2.txt
Viene salvato in locale sotto: %WINDIR%\ms2.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/ms3.txt
Viene salvato in locale sotto: %WINDIR%\ms3.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/ms4.txt
Viene salvato in locale sotto: %WINDIR%\ms4.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.**********/troys/hosts.txt
Viene salvato in locale sotto: %WINDIR%\hosts

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • n-glx.s-redirect.com; x.full-tgp.net; counter.sexmaniack.com;
      autoescrowpay.com; www.autoescrowpay.com; www.awmdabest.com;
      www.sexfiles.nu; awmdabest.com; sexfiles.nu; allforadult.com;
      www.allforadult.com; www.iframe.biz; iframe.biz; www.newiframe.biz;
      newiframe.biz; www.vesbiz.biz; vesbiz.biz; www.pizdato.biz;
      pizdato.biz; www.aaasexypics.com; aaasexypics.com; www.virgin-tgp.net;
      virgin-tgp.net; www.awmcash.biz; awmcash.biz; buldog-stats.com;
      www.buldog-stats.com; fregat.drocherway.com; slutmania.biz;
      www.slutmania.biz; toolbarpartner.com; www.toolbarpartner.com;
      www.megapornix.com; megapornix.com; www.sp2fucked.biz; sp2fucked.biz;
      greg-tut.com; www.greg-tut.com; nylonsexy.com; www.nylonsexy.com;
      vparivalka.com; www.vparivalka.com; iframeprofit.com;
      www.iframeprofit.com; topsearch10.com; www.topsearch10.com;
      statscash.biz; www.statscash.biz; vxiframe.biz; www.vxiframe.biz;
      crazy-toolbar.com; www.crazy-toolbar.com; topcash.biz;
      www.topcash.biz; loadcash.biz; www.loadcash.biz; txiframe.biz;
      www.txiframe.biz; procounter.biz; www.procounter.biz; advadmin.biz;
      www.advadmin.biz; trafficbest.net; www.trafficbest.net; besthvac.com;
      www.besthvac.com; traff4.com; www.traff4.com

L'host del file modificato sarà del tipo:

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andrei Gherman il Wed, 10 Aug 2005 10:31 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Fri, 07 Apr 2006 09:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro