English
Deutsch
Francais
Español
Italian
Home
Minacce
TR/Dldr.Small.ddp.28
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TR/Dldr.Small.ddp.28 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Dldr.Small.ddp.28
Scoperto:
29/01/2007
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
20.992 Byte
Somma di controllo MD5:
3aaaefdb982155056c3ee1707f65f2aa
Versione VDF:
6.37.00.218
Versione IVDF:
6.37.00.236
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Mcafee: AZESearch.dll
• Kaspersky: Trojan-Downloader.Win32.Small.ddp
• F-Secure: Trojan-Downloader.Win32.Small.ddp
• Sophos: Troj/DropRun-D
• Panda: Adware/TrustIn
• Eset: Win32/TrojanDownloader.Small.DDP
• Bitdefender: Trojan.Downloader.Small.BFI
Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file
• Clona un file “maligno”
• Modifica del registro
• Accesso e controllo del computer da parte di terzi
File
Viene creato il seguente file:
–
%WINDIR%
\inetloader.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Small.ddp.32
Prova ad eseguire il seguente file:
– Nome del file:
• regsvr32.exe
utilizzando i seguenti parametri: /s "
%WINDIR%
\inetloader.dll"
Registro
Registra un “browser helper object” (BHO) aggiungendo le seguenti chiavi:
– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\InprocServer32]
• (Default)="
%WINDIR%
\inetloader.dll"
• ThreadingModel="Apartment"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{f015f320-ab08-11db-abbd-0800200c9a66}]
Vengono aggiunte le seguenti chiavi di registro:
– [HKCU\Software\TrustIn\Weekly Executer]
• LastCfgFetchHigh=
%numero esadecimale%
• LastCfgFetchLow=
%numero esadecimale%
– [HKCU\Software\TrustIn]
– [HKCR\InetLoader.WeeklyExecuter.1]
• (Default)="WeeklyExecuter Class"
– [HKCR\InetLoader.WeeklyExecuter.1\CLSID]
• (Default)="{f015f320-ab08-11db-abbd-0800200c9a66}"
– [HKCR\InetLoader.WeeklyExecuter]
• (Default)="WeeklyExecuter Class"
– [HKCR\InetLoader.WeeklyExecuter\CLSID]
• (Default)="{f015f320-ab08-11db-abbd-0800200c9a66}"
– [HKCR\InetLoader.WeeklyExecuter\CurVer]
• (Default)="InetLoader.WeeklyExecuter.1"
– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}]
• (Default)="WeeklyExecuter Class"
– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\ProgID]
• (Default)="InetLoader.WeeklyExecuter.1"
– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\
VersionIndependentProgID]
• (Default)="InetLoader.WeeklyExecuter"
– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\
Programmable]
– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\TypeLib]
• (Default)="{d0460760-ab08-11db-abbd-0800200c9a66}"
Backdoor
Contatta il server:
Il seguente:
• http://adscontex.com/dir/**********
Come risultato viene fornita la capacità di controllare da remoto.
Capacità di controllo remoto:
• Download di file
• Eseguire file
• Visitare un sito web
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Andrei Gherman il Thu, 21 Jun 2007 14:21 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Thu, 21 Jun 2007 14:26 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce TR/Dldr.Small.ddp.28
Stampa questa pagina
