Nume:TR/Vundo.NV
Descoperit pe data de:16/12/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Versiune IVDF:7.01.00.238 - terça-feira, 16 de dezembro de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Grisoft: Vundo.CL


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini2




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://85.17.166.232/**********/index.dll
Fisierul este stocat pe hard disc la: %TEMPDIR%\%combinatie de caractere aleatoare%.dll In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Vundo.NU


– Adresa este urmatoarea:
   • http://89.188.16.46/**********/zc113432.dll
Fisierul este stocat pe hard disc la: %TEMPDIR%\%combinatie de caractere aleatoare%.dll In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Vundo.NT

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}]


Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}\InprocServer32]
   • @="%directorul de activare malware%\\%dll malware%"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\%numar hexazecimal%]
   • "Version"="%resurse folosite de malware descarcate de pe internet%"

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Andreas Feuerstein em terça-feira, 16 de dezembro de 2008
Descrição atualizada por Andreas Feuerstein em terça-feira, 16 de dezembro de 2008

Voltar . . . .