TR/Dloadr.ALQ - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Dloadr.ALQ
Data em que surgiu:	21/08/2006
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	8.945 Bytes
MD5 checksum:	ff470D3026278ff89ba3ad13cb49e718
Versão VDF:	6.35.01.115
Versão IVDF:	6.35.01.116

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Dropper.Win32.Small.ard
   • TrendMicro: TROJ_DLOADER.DQB
   • Sophos: Troj/Dloadr-ALQ
   • VirusBuster: TrojanSpy.Goldun.KO
   • Bitdefender: Trojan.Dloadr.ALQ

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

Depois da execução executa um aplicação que exibe a janela seguinte:

Ficheiros Apaga a cópia executada inicialmente.

São criados os seguintes ficheiros:

– %SYSDIR%\mscods.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dloadr.ALQ.1

– %TEMPDIR%\vbrs.bat
– %TEMPDIR%\screen.bmp

Registry (Registo do Windows) Regista um Objecto de Ajuda do Browser(BHO) adicionando as seguintes chaves ao registo do Windows :

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575}\InprocServer32
   • "(Default)"="%SYSDIR%\mscods.dll"
   • "ThreadingModel"="Apartment"

São adicionadas as seguintes chaves ao registo:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{45357971-2534-8760-3685-423479197575}]

Backdoor Contacta o servidor:
Seguinte:
• http://everythingdiscounted.biz/store/images/extras/**********

Como resultado é dada capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts CGI.

Capacidades de controlo remoto:
• Download de ficheiros

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG

Veja aqui uma breve descrição.

Descrição adicionada por Marius T. Nicolae em Tue, 22 Aug 2006 10:43 (GMT+1)
Descrição adicionada por Marius T. Nicolae em Thu, 07 Sep 2006 08:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back