English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Dldr.Small.DBX
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Dldr.Small.DBX - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Dldr.Small.DBX
CME-номер:
711
Обнаружен:
19/01/2007
Вид:
Троянская программа
В реальных условиях:
Да
Отмеченные факты заражения:
Высокий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Нет
Размер файла:
29.347 байт.
Версия VDF:
6.37.00.172
Версия IVDF:
6.37.00.188
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Mcafee: Downloader-BAI
• Kaspersky: Trojan-Downloader.Win32.Small.dam
• F-Secure: Trojan-Downloader.Win32.Small.dam
• Eset: Win32/Nuwar.Q
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файл
• Создает потенциально опасный файл
• Изменение реестра
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создаются следующие файлы:
–
%SYSDIR%
\wincom32.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.Small.DBX
–
%SYSDIR%
\peers.ini Содержит используемые вредоносным ПО параметры
Реестр
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32]
• Type = dword:00000001
• Start = dword:00000002
• ErrorControl = dword:00000001
• ImagePath = \??\
%SYSDIR%
\wincom32.sys
• DisplayName = wincom32
– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Security]
• Security =
%шестнадцатиричное значение%
– [HKLM\SYSTEM\CurrentControlSet\Services\wincom32\Enum]
• 0 = Root\LEGACY_WINCOM32\0000
• Count = dword:00000001
• NextInstance = dword:00000001
Backdoor
Открывается порт:
– services.exe по UDP порту 4000
Устанавливает соединение с сервером
Все последующие:
• 172.204.216.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 84.63.5.**********:4000 (UDP)
• 213.26.213.**********:4000 (UDP)
• 161.53.166.**********:4000 (UDP)
• 82.238.79.**********:4000 (UDP)
• 83.254.68.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 172.186.14.**********:4000 (UDP)
• 213.17.173.**********:4000 (UDP)
• 66.186.194.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 83.16.44.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 216.151.155.**********:4000 (UDP)
• 82.237.146.**********:4000 (UDP)
• 82.207.217.**********:4000 (UDP)
• 62.112.100.**********:4000 (UDP)
• 59.12.212.**********:4000 (UDP)
• 219.90.148.**********:4000 (UDP)
• 85.10.196.**********:4000 (UDP)
• 81.220.35.**********:4000 (UDP)
• 82.158.63.**********:4000 (UDP)
• 81.10.164.**********:4000 (UDP)
• 90.12.109.**********:4000 (UDP)
• 85.17.45.**********:4000 (UDP)
• 72.36.146.**********:4000 (UDP)
• 147.102.7.**********:4000 (UDP)
• 80.6.173.**********:4000 (UDP)
• 85.118.37.**********:4000 (UDP)
• 67.68.2.**********:4000 (UDP)
• 193.225.227.**********:4000 (UDP)
• 85.118.37.**********:4000 (UDP)
• 212.186.89.**********:4000 (UDP)
• 81.220.203.**********:4000 (UDP)
• 213.222.12.**********:4000 (UDP)
• 213.22.207.**********:4000 (UDP)
• 88.191.36.**********:4000 (UDP)
• 84.162.164.**********:4000 (UDP)
• 64.124.113.**********:4000 (UDP)
• 209.6.132.**********:4000 (UDP)
• 62.75.178.**********:4000 (UDP)
• 213.251.132.**********:4000 (UDP)
• 80.82.17.**********:4000 (UDP)
• 82.149.10.**********:4000 (UDP)
• 66.186.194.**********:4000 (UDP)
• 84.180.227.**********:4000 (UDP)
• 82.83.135.**********:4000 (UDP)
• 141.20.150.**********:4000 (UDP)
• 61.229.45.**********:4000 (UDP)
• 87.174.66.**********:4000 (UDP)
• 157.158.10.**********:4000 (UDP)
• 62.149.0.**********:4000 (UDP)
• 212.186.70.**********:4000 (UDP)
• 65.199.174.**********:4000 (UDP)
• 86.205.176.**********:4000 (UDP)
• 84.100.195.**********:4000 (UDP)
• 88.134.153.**********:4000 (UDP)
• 82.134.38.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 91.121.3.**********:4000 (UDP)
• 206.116.198.**********:4000 (UDP)
• 88.191.30.**********:4000 (UDP)
• 59.16.155.**********:4000 (UDP)
• 82.238.101.**********:4000 (UDP)
• 88.191.27.**********:4000 (UDP)
• 83.20.130.**********:4000 (UDP)
• 84.123.4.**********:4000 (UDP)
• 200.68.82.**********:4000 (UDP)
• 222.100.21.**********:4000 (UDP)
• 193.42.213.**********:4000 (UDP)
• 84.97.223.**********:4000 (UDP)
• 207.226.112.**********:4000 (UDP)
• 83.149.74.**********:4000 (UDP)
• 62.4.83.**********:4000 (UDP)
• 142.161.105.**********:4000 (UDP)
• 212.122.104.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 147.83.119.**********:4000 (UDP)
• 82.82.82.**********:4000 (UDP)
• 202.160.12.**********:4000 (UDP)
• 216.151.155.**********:4000 (UDP)
• 82.58.91.**********:4000 (UDP)
• 84.58.146.**********:4000 (UDP)
• 82.84.181.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 213.80.170.**********:4000 (UDP)
• 194.242.112.**********:4000 (UDP)
• 217.147.37.**********:4000 (UDP)
• 83.149.73.**********:4000 (UDP)
• 66.172.60.**********:4000 (UDP)
• 87.11.63.**********:4000 (UDP)
• 189.140.92.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 154.37.66.**********:4000 (UDP)
• 81.168.178.**********:4000 (UDP)
• 83.15.100.**********:4000 (UDP)
• 84.162.255.**********:4000 (UDP)
• 195.47.195.**********:4000 (UDP)
• 69.245.185.**********:4000 (UDP)
• 213.97.180.**********:4000 (UDP)
• 212.241.66.**********:4000 (UDP)
• 218.156.203.**********:4000 (UDP)
• 61.78.66.**********:4000 (UDP)
• 90.16.228.**********:4000 (UDP)
• 212.203.143.**********:4000 (UDP)
• 213.251.132.**********:4000 (UDP)
• 213.133.111.**********:4000 (UDP)
• 83.25.129.**********:4000 (UDP)
• 80.53.63.**********:4000 (UDP)
После установления соединения вызывается дополнительный список серверов.
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.
Возможности удаленного контроля:
• Загрузить файл
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Fri, 19 Jan 2007 12:18 (GMT+1)
Описание обновлено: Andrei Gherman Mon, 22 Jan 2007 09:12 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Kidala.G
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Mytob.BF
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Dldr.Small.DBX
Print this page
.gif)
