Nom:TR/Proxy.Mitgl.DQ.1
La date de la découverte:15/08/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:9.056 Octets
Somme de contrôle MD5:14c6230994fc57492f56182592cd255b
Version VDF:6.31.1.52

 Général Les alias:
   •  Kaspersky: Trojan-Proxy.Win32.Mitglieder.dq
   •  VirusBuster: Trojan.DL.Agent.ST
   •  Bitdefender: Trojan.Proxy.Mitglieder.DQ


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\msnethlp32.exe
   • %SYSDIR%\msnethlp32.dll



Le fichier suivant est créé:

%SYSDIR%mscore.bin

 Porte dérobée Les ports suivants sont ouverts:

%WINDIR%\explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
%WINDIR%\explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.


Serveur de contact:
Un des suivants::
   • www.manwithn**********e.biz/cgi-bin/get.cgi
   • www.in**********e.net/cgi-bin/get.cgi
   • www.shivaspace**********logy.cn/cgi-bin/get.cgi
   • www.trymyg**********.com/cgi-bin/get.cgi

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.


Il envoie de l'information au sujet de:
    • Le type de la connexion Internet
    • Le statut courant du malware
    • Information sur le réseau
    • Port ouvert
    • L'ID de la plateforme
    • Le temps du système
    • Information sur le système d'exploitation Windows

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • explorer.exe


 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • www.manwithnoname.biz
   • www.intlive.net
   • www.shivaspacetechnology.cn
   • www.trymygift.com

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG 1.3

Description insérée par Victor Tone le lundi 15 août 2005
Description mise à jour par Victor Tone le vendredi 26 août 2005

Retour . . . .