Description complète

Nom:	TR/Click.Small.HR
La date de la découverte:	23/08/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	20.480 Octets
Somme de contrôle MD5:	aab0b0d92b441763d45cff47c9224bcb
Version VDF:	6.31.1.140

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: PWSteal.Lemir
   • Kaspersky: Trojan-Clicker.Win32.Small.hr
   • Panda: Trj/Agent.AIA
   • Bitdefender: Trojan.Clicker.Small.HR

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\iexplore.exe

Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– %WINDIR%\deleteme.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft"="%SYSDIR%\iexplore.exe"

Les valeurs des clés de registre suivantes sont supprimées:

– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • RavMon
   • KAVPersonal50
   • RavTimer
   • KvMonXP
   • iDuba Personal FireWall
   • KAVRun
   • KpopMon
   • Kulansyn
   • KavPFW
   • KvXP
   • ccApp
   • SSC_UserPrompt
   • NAV CfgWiz
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • VirusScan Online
   • VSOCheckTask
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • KavStart
   • Services
   • KWatch9x

– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • iDuba Personal FireWall
   • KavPFW
   • KvXP

Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\MskService
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McShield
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
   • Start=dword:00000004

Arrêt de processus: La liste des processus qui sont terminés:
   • CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
      KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
      KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
      KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
      KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
      RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
      TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe

Les processus avec les caractéristiques suivantes sont arrêtés:
    • Titre: Symantec AntiVirus     Nom de la classe: KV2004
    • Titre: RavMon.exe     Nom de la classe: RavMonClass
    • Titre: ZoneAlarm     Nom de la classe: ZAFrameWnd
    • Titre: %caractères-double-octet%     Nom de la classe: Tapplication
    • Titre: %caractères-double-octet%     Nom de la classe: TForm1
    • Titre: %aléatoire%     Nom de la classe: TfLockDownMain
    • Titre: %aléatoire%     Nom de la classe: KvXP_ExpertFrame
    • Titre: %aléatoire%     Nom de la classe: WHXMDI0

La liste des services qui sont désactivés:
   • ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
      KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
      navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
      Core LC; wscsvc

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Irina Boldea le mardi 23 août 2005
Description mise à jour par Irina Boldea le lundi 29 août 2005

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils