Nom:TR/Dldr.Krepper.G.2
La date de la découverte:19/09/2005
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.624 Octets
Somme de contrôle MD5:105b31a167a5d9751ac15c3032394513
Version VDF:6.26.0.8

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: MultiDropper-IM
   •  Kaspersky: Trojan-Downloader.Win32.Krepper.g
   •  TrendMicro: TROJ_KREPPER.G
   •  Sophos: Troj/Krepper-G
   •  Grisoft: Downloader.Krepper.I
   •  VirusBuster: Trojan.DL.Krepper.H
   •  Bitdefender: Trojan.Downloader.Kreeper.G


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\inetdata\services.exe



Une section est ajoutée à un fichier.
– A: %WINDIR%\System.ini Avec le contenu suivant:
   • load=%WINDIR%\inetdata\winlogon.exe




Le fichier suivant est créé:

%WINDIR%\inetdata\version.txt



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • **********.com/gallerys/xpsystem/3.00.36.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\inetdata\winlogon.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.CWS.h.1.B


– L'emplacement est le suivant:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\inetdata\3.00.09.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Delf.BV.1

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"



Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\services.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "statexpsystem"=dword:00000000
   • "estatexpsystem"=dword:00000000
   • "state"=%chaîne de caractères aléatoire%

 Porte dérobée Serveur de contact:
Le suivant:
   • **********.com/gallerys/xpsystem/version.txt.php?

En conséquence la possibilité de contrôle à distance est fournie. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.
Le réponse du serveur est écrit dans le fichier: %WINDIR%\inetdata\version.txt


Capacités d'accès à distance:
    • Télécharger un fichier

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • PE_Patch.PECompact
   • PecBundle
   • PECompact

Description insérée par Irina Boldea le lundi 19 septembre 2005
Description mise à jour par Irina Boldea le mardi 27 septembre 2005

Retour . . . .