TR/Dloadr.ALQ - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dloadr.ALQ
Scoperto:	21/08/2006
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	8.945 Byte
Somma di controllo MD5:	ff470D3026278ff89ba3ad13cb49e718
Versione VDF:	6.35.01.115
Versione IVDF:	6.35.01.116

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Dropper.Win32.Small.ard
   • TrendMicro: TROJ_DLOADER.DQB
   • Sophos: Troj/Dloadr-ALQ
   • VirusBuster: TrojanSpy.Goldun.KO
   • Bitdefender: Trojan.Dloadr.ALQ

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro

Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

File Cancella la copia di se stesso eseguita inizialmente.

Vengono creati i seguenti file:

– %SYSDIR%\mscods.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dloadr.ALQ.1

– %TEMPDIR%\vbrs.bat
– %TEMPDIR%\screen.bmp

Registro Registra un “browser helper object” (BHO) aggiungendo le seguenti chiavi:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575}\InprocServer32
   • "(Default)"="%SYSDIR%\mscods.dll"
   • "ThreadingModel"="Apartment"

Vengono aggiunte le seguenti chiavi di registro:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{45357971-2534-8760-3685-423479197575}]

Backdoor Contatta il server:
Il seguente:
• http://everythingdiscounted.biz/store/images/extras/**********

Come risultato viene fornita la capacità di controllare da remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.

Capacità di controllo remoto:
• Download di file

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• FSG

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Marius T. Nicolae il Tue, 22 Aug 2006 10:43 (GMT+1)
Descrizione aggiornata da Marius T. Nicolae il Thu, 07 Sep 2006 08:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro