TR/Dldr.Exchanger.OQ - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.Exchanger.OQ
Scoperto:	18/08/2008
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	72.704 Byte
Somma di controllo MD5:	598e57c048f4ee0e550aa66324a410c4
Versione IVDF:	7.00.06.28

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: BackDoor-DNM trojan
   • Kaspersky: Trojan-Downloader.Win32.Exchanger.oq
   • F-Secure: Backdoor:W32/Hupigon.OEA
   • Panda: Trj/Dropper.WW
   • Grisoft: I-Worm/Nuwar.W
   • VirusBuster: Trojan.Agent.DVUQ
   • Eset: a variant of Win32/Agent.ETH trojan

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro

File Si copia alla seguente posizione:
   • %SYSDIR%\CdbgEvtSvc.exe

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://vca.cl/scan**********.exe
Viene salvato in locale sotto: C:\Documents and Settings\LocalService\Application Data\641767680.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Fakealert.aah.3

– La posizione è la seguente:
   • http://vca.cl/in_**********.exe
Viene salvato in locale sotto: C:\Documents and Settings\LocalService\Application Data\664313440.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen

– La posizione è la seguente:
   • http://vca.cl/pre**********.exe
Viene salvato in locale sotto: C:\Documents and Settings\LocalService\Application Data\607883503.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dropper.Gen

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=
   • "DisplayName"="CdbgEvtSvc"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Security]
   • "Security"=%numero esadecimale%

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Enum]
   • "0"="Root\\LEGACY_CDBGEVTSVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andreas Feuerstein il Tue, 19 Aug 2008 14:04 (GMT+1)
Descrizione aggiornata da Andreas Feuerstein il Tue, 19 Aug 2008 15:09 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro