VírusTR/Dldr.Harnig.BD.1
Data em que surgiu:10/04/2006
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:5.637 Bytes
MD5 checksum:9aa32c86cd9a164e4bf1b3eebf187c73
Versão VDF:6.34.00.165

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Harnig.bd
   •  TrendMicro: TROJ_DLOADER.COH
   •  Bitdefender: Trojan.Downloader.Small.YU


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança

 Ficheiros Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\uniq

– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\kl1.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Sinowal.H


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\tool2.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/Hoax.Renos.AG


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\country.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Killav.DB.2


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: %PROGRAM FILES%\secure32.html

– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: %PROGRAM FILES%\paytime.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/StartPage.adi.7


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\toolbar.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Killav.DB.2


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\tool1.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Proxy.Small.BO.Dldr


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\tool3.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Tiny.AP.3


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\tool4.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Proxy.Small.BO.18


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\tool5.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Click.Small.KR


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\ms1.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.S.CJG.325.D


– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: %WINDIR%\Hosts

– A partir da seguinte localização:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Encontra-se no disco rígido: c:\uniq

 Registry (Registo do Windows)  A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\CurrentControlSet\Services\SharedAccess]

 Terminar o processo  Os seguintes serviços são desactivados :
   • Windows Firewall/Internet Connection Sharing (ICS)

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Andrei Ivanes em quarta-feira, 12 de abril de 2006
Descrição atualizada por Andrei Gherman em quinta-feira, 13 de abril de 2006

Voltar . . . .