DR/Zlob.57806.79 - Dropper

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	DR/Zlob.57806.79
Tipo:	Dropper
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	57.806 Byte
Somma di controllo MD5:	85f518cef958232fe659fd9131bec912

Generale Alias:
   • TrendMicro: TROJ_ZLOB.BQQ
   • Sophos: Troj/Zlob-US

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Scarica file “maligni”
   • Duplica un file
   • Modifica del registro

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Viene creato il seguente file:

– %PROGRAM FILES%\MediaCodec\uninst.exe

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://85.255.114.187/ultra/php/install/**********
Viene salvato in locale sotto: %TEMPDIR%\fan5.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: HEUR/Malware

– La posizione è la seguente:
   • http://85.255.114.187/ultra/php/install/**********
Viene salvato in locale sotto: %TEMPDIR%\fan6.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.114.187/ultra/php/install/**********
Viene salvato in locale sotto: %TEMPDIR%\fan7.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://85.255.114.187/ultra/php/install/**********
Viene salvato in locale sotto: %TEMPDIR%\fan8.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Registro Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Internet Security
   • "Type"=dword:00000002
   • "Path"="%PROGRAM FILES%\MediaCodec"
   • "Removable"=dword:00000000

– HKCR\VSEnchancer.Chl\CLSID
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– HKCR\EMediaCodek.Chl\CLSID
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaCodec
   • "ProductionEnvironment"="1"
   • "DisplayName"="MediaCodec 4.0"
   • "UninstallString"="%PROGRAM FILES%\MediaCodec\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\MediaCodec\uninst.exe"
   • "DisplayVersion"="4.0"
   • "URLInfoAbout"="www.medcodec.com"
   • "Publisher"="MediaCodec Software"

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Bogdan Iliuta il Mon, 13 Nov 2006 14:17 (GMT+1)
Descrizione aggiornata da Bogdan Iliuta il Wed, 15 Nov 2006 12:13 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro