VírusTR/Drop.Small.ue.11
Data em que surgiu:15/09/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:14.336 Bytes
MD5 checksum:645063cc02e5ebf5dd50f34483c81f74
Versão VDF:6.31.1.58

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  TrendMicro: TROJ_SMALL.ANG
   •  F-Secure: W32/Dropper.ADV
   •  VirusBuster: Trojan.DR.Small.ZQ1
   •  Bitdefender: Dropped:Trojan.Downloader.2591.E


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos

 Ficheiros Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\tmp%dois caracteres aleatórios%.tmp

%TEMPDIR%\tmp%dois caracteres aleatórios%.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://www.**********.us/backgr.jppg
   • http://www.**********.us/backgr1.jppg
   • http://www.**********.us/backgr2.jppg
   • http://www.**********.us/backgr3.jppg
   • http://**********.net/backgr.jppg
   • http://**********.net/backgr1.jppg
   • http://**********.net/backgr2.jppg
   • http://**********.net/backgr3.jppg
   • http://**********.hbhosting.com/backgr.jppg
   • http://**********.hbhosting.com/backgr1.jppg
   • http://**********.hbhosting.com/backgr2.jppg
   • http://**********.hbhosting.com/backgr3.jppg
Ainda em fase de pesquisa.

 Backdoor Contacta o servidor:
Seguinte:
   • **********.171.45\count.php

Isto é feito usando o método HTTP GET através de scripts PHP.

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • www.yahoo.com

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Catalin Jora em quinta-feira, 15 de setembro de 2005
Descrição atualizada por Catalin Jora em quarta-feira, 21 de setembro de 2005

Voltar . . . .