Nom:TR/PSW.Lmir.53381
La date de la découverte:31/08/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:53.381 Octets
Somme de contrôle MD5:377d336c659395f6faf9100b69eaa84a
Version VDF:6.31.1.54

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   L'ancienne valeur:
   • @=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @="%SYSDIR%\winl0gon.exe %1"

 Arrêt de processus: La liste des processus qui sont terminés:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

Les processus avec les caractéristiques suivantes sont arrêtés:
    •  Titre: Symantec AntiVirus     Nom de la classe: KV2004
    •  Titre: RavMon.exe     Nom de la classe: RavMonClass
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: Tapplication
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: TForm1
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: TfLockDownMain
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: ZAFrameWnd
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: KvXP_ExpertFrame
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: WHXMDI0
    •  Titre: RegEdit_RegEdit     Nom de la classe: TKillqqv
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: TfrmMain

 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • Legend of Mir2
   • Legend of Mir3

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Boldea le mercredi 31 août 2005
Description mise à jour par Irina Boldea le jeudi 1 septembre 2005

Retour . . . .