VírusTR/Dldr.Winlagons.BN
Data em que surgiu:07/04/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:3.009 Bytes
MD5 checksum:a018dc8d6710e1511c1a26d27c2e8b93
Versão IVDF:7.00.03.123 - segunda-feira, 7 de abril de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Winlagons.bn
   •  F-Secure: Trojan-Downloader.Win32.Winlagons.bn
   •  Eset: Win32/TrojanDownloader.Tiny.NJ trojan
   •  Bitdefender: Trojan.Downloader.Tipikit.F


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://58.65.239.115/**********/tpktskr2.php
Encontra-se no disco rígido: %SYSDIR%\jhwqzy.tmp Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

– A partir da seguinte localização:
   • http://58.65.239.42/**********/gdk5.exe
Encontra-se no disco rígido: %SYSDIR%\iegm563.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen


– A partir da seguinte localização:
   • http://58.65.239.42/**********/wejhfds.exe
Encontra-se no disco rígido: %SYSDIR%\iegm563.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Zhelatin.YO.165

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Google Online Services]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%directório de execução do malware%\%ficheiro executado%
     "DisplayName"="Google Online Services"
     "ObjectName"="LocalSystem"

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Thomas Wegele em quinta-feira, 15 de maio de 2008
Descrição atualizada por Thomas Wegele em quinta-feira, 15 de maio de 2008

Voltar . . . .