VírusTR/Dldr.Tiny.brm
Data em que surgiu:14/07/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:8.192 Bytes
MD5 checksum:6b4ef50e3e21205685cea919ebf93476
Versão IVDF:7.00.05.107 - segunda-feira, 14 de julho de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Trojan Horse
   •  Kaspersky: Trojan-Downloader.Win32.Obitel.a
   •  TrendMicro: TROJ_DLOADR.GG
   •  F-Secure: Trojan-Downloader.Win32.Obitel.a
   •  Sophos: Troj/Agent-HFU
   •  Eset: Win32/TrojanDownloader.Tiny.NDM
   •  Bitdefender: Trojan.Downloader.Gadja.C


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\userinit.exe



Muda o nome do seguinte ficheiro:

    •  %SYSDIR%\userinit.exe Para: %SYSDIR%\userini.exe



Apaga a cópia executada inicialmente.

%TEMPDIR%\%três caracteres aleatórios%.tmp Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Tiny.brm.1




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://fixaserver.ru/**********gate.php**********
Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
Um dos seguintes:
   • Ihr UPS Paket %uma série de caracteres aleatórios%
   • UPS Paket %uma série de caracteres aleatórios%



Corpo:
O corpo do email é o seguinte:

   • Guten Tag,
     leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
     die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
     und holen Sie ihr Paket bei uns ab.

   • Dear Sir/Madam,
     
     Unfortunately we were not able to deliver postal package you sent on July the 1st in time because the recipient's address is not correct.
     Please print out the invoice copy attached and collect the package at our office
     
     Your UPS


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • UPS_Lieferschein_8102.zp
   • ups_invoice.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Thomas Wegele em terça-feira, 15 de julho de 2008
Descrição atualizada por Thomas Wegele em terça-feira, 15 de julho de 2008

Voltar . . . .