Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Dldr.Small.vrv
Data em que surgiu:13/05/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:21.504 Bytes
MD5 checksum:6744c7d7ecdc7fa5359103507a649af0
Versão VDF:7.00.04.30
Versão IVDF:7.00.04.31 - terça-feira, 13 de maio de 2008

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Symantec: W32.Mandaph
   •  Kaspersky: Trojan-Downloader.Win32.Small.vrv
   •  TrendMicro: TROJ_SMALL.KFO
   •  F-Secure: Trojan-Downloader.Win32.Small.vrv
   •  Sophos: W32/Niya-C
   •  Panda: W32/Mandaph.A.worm
   •  VirusBuster: Trojan.DL.Small.AOTJ
   •  Eset: Win32/Zalup
   •  Bitdefender: Trojan.Downloader.Agent.ZJI


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\drivers\spools.exe
   • %HOME%\cftmon.exe
   • %unidade%\autorun.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %HOME%\mpr.dat
   • %HOME%\mpr2.dat
   • %HOME%\cs.dat
   • %HOME%\update.dat

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%SYSDIR%\ftp34.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Gen

– %HOME%\ftp34.dll Detectado como: TR/Spy.Gen

 Registry (Registo do Windows) – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ntuser" = "%SYSDIR%\drivers\spools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "autoload" = "%UserProfile%\cftmon.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ntuser" = "%SYSDIR%\drivers\spools.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "autoload" = "%UserProfile%\cftmon.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath" = "%SYSDIR%\drivers\spools.exe"



As seguintes chaves de registo e todos os valores são eliminados:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]



É adicionada a seguinte chave de registo:

– [HKCR\exefile\shell\open\command]
   • @="%HOME%\cftmon.exe "%1" %*"



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="Explorer.exe"
     "UIHost"="logonui.exe"

 Backdoor Contacta o servidor:
Seguintes:
   • http://zonephp.**********
   • http://zonephp.**********


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Alexandru Dinu em quinta-feira, 7 de agosto de 2008
Descrição atualizada por Andrei Ivanes em terça-feira, 16 de setembro de 2008

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.