Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Dldr.Small.vrv
Data em que surgiu:13/05/2008
Tipo:Trojan
Subtipo:Downloader
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:21.504 Bytes
MD5 checksum:6744c7d7ecdc7fa5359103507a649af0
Verso VDF:7.00.04.30
Verso IVDF:7.00.04.31 - terça-feira, 13 de maio de 2008

 Vulgarmente Meio de transmisso:
   • Unidade de rede


Alias:
   •  Symantec: W32.Mandaph
   •  Kaspersky: Trojan-Downloader.Win32.Small.vrv
   •  TrendMicro: TROJ_SMALL.KFO
   •  F-Secure: Trojan-Downloader.Win32.Small.vrv
   •  Sophos: W32/Niya-C
   •  Panda: W32/Mandaph.A.worm
   •  VirusBuster: Trojan.DL.Small.AOTJ
   •  Eset: Win32/Zalup
   •  Bitdefender: Trojan.Downloader.Agent.ZJI


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\drivers\spools.exe
   • %HOME%\cftmon.exe
   • %unidade%\autorun.exe



So criados os seguintes ficheiros:

Ficheiros no maliciosos:
   • %HOME%\mpr.dat
   • %HOME%\mpr2.dat
   • %HOME%\cs.dat
   • %HOME%\update.dat

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%SYSDIR%\ftp34.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Spy.Gen

%HOME%\ftp34.dll Detectado como: TR/Spy.Gen

 Registry (Registo do Windows)  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ntuser" = "%SYSDIR%\drivers\spools.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "autoload" = "%UserProfile%\cftmon.exe"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ntuser" = "%SYSDIR%\drivers\spools.exe"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "autoload" = "%UserProfile%\cftmon.exe"



Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath" = "%SYSDIR%\drivers\spools.exe"



As seguintes chaves de registo e todos os valores so eliminados:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]



adicionada a seguinte chave de registo:

[HKCR\exefile\shell\open\command]
   • @="%HOME%\cftmon.exe "%1" %*"



O seguinte valor do registo alterado:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="Explorer.exe"
     "UIHost"="logonui.exe"

 Backdoor Contacta o servidor:
Seguintes:
   • http://zonephp.**********
   • http://zonephp.**********


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Alexandru Dinu em quinta-feira, 7 de agosto de 2008
Descrição atualizada por Andrei Ivanes em terça-feira, 16 de setembro de 2008

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.