TR/Zlob.65745.8 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Zlob.65745.8
Scoperto:	25/10/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	49.803 Byte
Somma di controllo MD5:	eea22afe223ef4c31fd0442281eaae61
Versione VDF:	6.36.00.166
Versione IVDF:	6.36.00.184

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • F-Secure: Trojan-Downloader.Win32.Zlob.aqo
   • Grisoft: Downloader.Zlob.CX
   • Eset: Win32/TrojanDownloader.Zlob

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file “maligni”
   • Clona un file “maligno”
   • Modifica del registro

Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:

File Crea la seguente directory:
   • %PROGRAM FILES%\VideoCompressionCodec

Viene creato il seguente file:

– %PROGRAM FILES%\VideoCompressionCodec\uninst.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Zlob.65745.8

Prova a scaricare dei file:

– La posizione è la seguente:
   • 85.255.118.2/ultra/php/install/**********
Viene salvato in locale sotto: %TEMPDIR%\laf%numero esadecimale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

– La posizione è la seguente:
   • yourguardonline.biz/**********
Viene salvato in locale sotto: %TEMPDIR%\laf%numero esadecimale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– La posizione è la seguente:
   • 85.255.118.2/ultra/php/install/**********
Viene salvato in locale sotto: %TEMPDIR%\laf%numero esadecimale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000003
   • "Path"="%PROGRAM FILES%\VideoCompressionCodec"
   • "Removable"=dword:00000000

– [HKCR\VSEnchancer.Chl]
– [HKCR\VSEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKCR\AVZipEnchancer.Chl]
– [HKCR\AVZipEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   VideoCompressionCodec]
   • "ProductionEnvironment"="1"
   • "DisplayName"="VideoCompressionCodec 10.0"
   • "UninstallString"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayVersion"="10.0"
   • "URLInfoAbout"="www.vccodec.com"
   • "Publisher"="VideoCompressionCodec Software"

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Adriana Popa il Mon, 13 Nov 2006 15:40 (GMT+1)
Descrizione aggiornata da Adriana Popa il Tue, 21 Nov 2006 10:36 (GMT+1)

» Informazioni sul malware
» Informazioni sul phishing
» Viruses In the Wild

« Indietro