Имя:TR/Dldr.Banload.aoo.62
Обнаружен:27/11/2006
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:207.360 байт.
Контрольная сумма MD5:6ff39a81cf318ca465a1460349bfd2a6
Версия VDF:6.36.00.146
Версия IVDF:6.36.00.163 - среда, 25 октября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: PWS-Banker.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Banload.aoo
   •  Grisoft: Downloader.Generic2.UIW
   •  Eset: Win32/TrojanDownloader.Banload.AOO


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\wzip32.exe




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.yourmaclife.com/forum/includes/**********
Сохраняется локально в: %TEMPDIR%\$$$.temp Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

– Следующие URL:
   • http://www.kosova.ch/share/files/132/**********
   • http://www.bulk-upload.com/files/19/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinZip"="\"%SYSDIR%\wzip32.exe\""



С добавлением следующего ключа регистрируется BHO (browser helper object):

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]


Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
   • @=""

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}\InprocServer32]
   • @="%SYSDIR%\mpeg4dec0.dll"
   • "ThreadingModel"="Apartment"

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PC Shrinker

Описание добавил Monica Ghitun в(о) вторник, 28 ноября 2006 г.
Описание обновил Monica Ghitun в(о) вторник, 28 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.