TR/Dldr.TComBill.O - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Dldr.TComBill.O
Обнаружен:	03/10/2006
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	20.992 байт.
Контрольная сумма MD5:	2a36d74ac7f8a4cd7e3df11b5d84bd4e
Версия VDF:	6.36.00.49
Версия IVDF:	6.36.00.60

Общее Метод распространения:
   • Нет собственной процедуры распространения
   • Mcafee: Downloader-AAP
   • Kaspersky: Trojan-Downloader.Win32.Nurech.b
   • Sophos: Troj/Clagger-AD
   • Eset: Win32/TrojanDownloader.Agent.UF

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вродоносный файл
   • Создает файл
   • Изменение реестра

Файлы Создается собственная копия:
   • %SYSDIR%\ipf.exe

Создается файл:

– %SYSDIR%\drivers\winut.dat Файл является безвредным текстовым файлом со следующим содержимым:
   • http://mncppcbulletinboard.org/images/**********
     http://paulfrank.name/media/**********
     http://addiekay.com/images/rotate/**********
     http://deja-rue.com/mypix/**********
     http://derbydaddy.com/sponsor/**********
     http://databane.com/images/sidebar/**********
     http://shinerbach.com/photo/album1/**********
     http://spicynites.co.uk/images/**********
     http://carpetsdirect-r-us.com/e107_docs/**********
     http://gorelov-dv.org/files/weg.txt
     http://cwmdulais.org.uk/public_html/images/**********
     http://mjfconsultancy.com/images/**********
     http://mcgeown.co.uk/images/**********
     http://ecocleanservices.co.uk/**********
     http://caithnesscanineclub.co.uk/gallery/pictures/**********
     http://kosheen.net/e107_files/downloadimages/**********
     http://83.149.103.136/**********

Попытка загрузки следующего файла:

– Следующие URL:
   • http://mncppcbulletinboard.org/images/**********
   • http://paulfrank.name/media/**********
   • http://addiekay.com/images/rotate/**********
   • http://deja-rue.com/mypix/**********
   • http://derbydaddy.com/sponsor/**********
   • http://databane.com/images/sidebar/**********
   • http://shinerbach.com/photo/album1/**********
   • http://spicynites.co.uk/images/**********
   • http://carpetsdirect-r-us.com/e107_docs/**********
   • http://gorelov-dv.org/files/weg.txt
   • http://cwmdulais.org.uk/public_html/images/**********
   • http://mjfconsultancy.com/images/**********
   • http://mcgeown.co.uk/images/**********
   • http://ecocleanservices.co.uk/**********
   • http://caithnesscanineclub.co.uk/gallery/pictures/**********
   • http://kosheen.net/e107_files/downloadimages/**********
   • http://83.149.103.136/**********
Сохраняется локально в: %SYSDIR%\drivers\winut.dat Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "ifp"="%Рабочая папка вредоносной программы%\%выполненный файл%"

Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "windowsshell"=dword:00000001

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Tue, 03 Oct 2006 16:01 (GMT+1)
Описание обновлено: Andrei Ivanes Thu, 26 Oct 2006 10:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back