VírusTR/Dldr.Tcom.1
Data em que surgiu:19/07/2005
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:5.632 Bytes
MD5 checksum:8e3cf147f6d642b4e0808cec743d856e
Versão VDF:6.31.0.234

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Download.Trojan
   •  Mcafee: Downloader-ACS
   •  Kaspersky: Trojan-Downloader.Win32.Murlo.as
   •  TrendMicro: TROJ_VIDLO.K
   •  Sophos: Troj/Vidlo-R
   •  VirusBuster: Trojan.DL.Vidlo.H


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\%ficheiro executado%



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %directório de execução do malware%\a.bat



São criados os seguintes ficheiros:

%directório de execução do malware%\a.bat É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • :l
     del %1
     if exist %1 goto l
     del %0

%SYSDIR%\dllsys.dll



Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://www.**********.net/images/2.exe
   • http://www.**********.ru/eshop/sys/2.exe
   • http://**********.com.ua/files/2.exe
   • http://www.**********.ru/test/pics/2.exe
   • http://**********/unix/2.exe
Encontra-se no disco rígido: %HOME%\local settings\temporary internet files Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Tcom.2


– A partir das seguintes localizações:
   • http://www.**********.net/images/3.exe
   • http://www.**********.ru/eshop/sys/3.exe
   • http://**********.com.ua/files/3.exe
   • http://www.**********.ru/test/pics/3.exe
   • http://**********/unix/3.exe
Encontra-se no disco rígido: %HOME%\local settings\temporary internet files Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\software\microsoft\windows\currentversion\run\]
   • "winldr"="%WINDIR%\%ficheiro executado%"

Descrição enviada por Sergiu Oprea em quarta-feira, 3 de agosto de 2005
Descrição atualizada por Sergiu Oprea em sexta-feira, 26 de agosto de 2005

Voltar . . . .