TR/Dldr.FraudLoad.51200 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.FraudLoad.51200
Scoperto:	16/09/2009
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Alto
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	51.200 Byte
Somma di controllo MD5:	2277c47fd42f0D448dab0C97493e6acc
Versione VDF:	7.01.05.247
Versione IVDF:	7.01.05.249

Generale Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

   Elevates itself with SeShutdownPrivilege in order to restart the system.

File Cancella la copia di se stesso eseguita inizialmente.

Vengono creati i seguenti file:

– %SYSDIR%\braviax.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Renos.56

– %SYSDIR%\dllcache\figaro.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

– %SYSDIR%\dllcache\beep.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

– %SYSDIR%\drivers\beep.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.FraudLoad.fnm

Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

Il valore della seguente chiave di registro viene rimosso:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky

Vengono cambiate le seguenti chiavi di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Nuovo valore:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• Mystic Compressor

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Petre Galan il Wed, 16 Sep 2009 15:45 (GMT+1)
Descrizione aggiornata da Petre Galan il Wed, 16 Sep 2009 16:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro