VírusTR/Drop.LdPinch.dvx
Data em que surgiu:23/10/2007
Tipo:Trojan
Subtipo:Dropper / Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:28.672 Bytes
MD5 checksum:67f88bf5ae4a4c64dbee3de00Dc8fc0C
Versão IVDF:7.0.0.125

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Spy-Agent.bg
   •  Eset: Win32/PSW.LdPinch.DVX trojan


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\9129837.exe



São criados os seguintes ficheiros:

%WINDIR%\new_drv.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: RKIT/LdPinch.dvx

– c:\abcdefg.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ttool
   • %WINDIR%\9129837.exe



É adicionada a seguinte chave de registo:

– HKCU\Software\Microsoft\InetData
   • k1=dword:336602d5
   • k2=dword:4337c861
   • version="951"

 Backdoor Contacta o servidor:
Seguinte:
   • http://**********/cgi-bin/options.cgi?user_id=165549058&version_id=951&passphrase=fkjvhsdvlksdhvlsd&socks=3633&version=124&crc=00000000

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts CGI.

Descrição enviada por Lutz Koch em terça-feira, 23 de outubro de 2007
Descrição atualizada por Lutz Koch em quarta-feira, 24 de outubro de 2007

Voltar . . . .