Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Tcom.2
La date de la découverte:13/12/2012
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:26.624 Octets
Somme de contrôle MD5:8e3cf147f6d642b4e0808cec743d856e
Version VDF:7.11.53.216

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windldra.exe



Il supprime le fichier suivant:
   • %WINDIR%\send_logs_trigger



Les fichiers suivants sont créés:

%WINDIR%\netdx.dat Ce fichier sert de drapeau à une routine interne.
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm Ce fichier contient des frappes de touche collectés.
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%chaîne de caractères aléatoire%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Les ports suivants sont ouverts:

%le fichier exécuté% sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
%le fichier exécuté% sur le port TCP 9125 afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • http://222.36.41.**********/system32/logger.php

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.
    • Information sur le réseau
    • L'ID de la plateforme

 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– Il capture:
    • Frappes de touche
    • Fenêtre d'information
    • La fenêtre du navigateur
    • Information du compte

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • Internet Explorer


Description insérée par Sergiu Oprea le mercredi 3 août 2005
Description mise à jour par Oliver Auerbach le mardi 18 octobre 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.