Nom:TR/Dldr.CWS.h.1.B
La date de la découverte:19/09/2005
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrôle MD5:3bb19c92f33d0b89cf823bacea72efa9
Version VDF:6.32.0.38

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\inetdata\services.exe



Une section est ajoutée à un fichier.
– A: %WINDIR%\system.ini Avec le contenu suivant:
   • load=%WINDIR%\inetdata\services.exe
     




Le fichier suivant est créé:

%WINDIR%\inetdata\tmp



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • traff-**********.com/ef.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\ef.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.CWS.C.2


– L'emplacement est le suivant:
   • traff-**********.com/killer.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\skiller.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.CWS.A


– L'emplacement est le suivant:
   • traff-**********.com/socks5.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\winsocks5.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Proxy.Small.bt.3


– L'emplacement est le suivant:
   • **********.com/mm.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\mm1.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.CWS.h.2


– L'emplacement est le suivant:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\inetdata\3.00.09.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Delf.BV.1

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%chaîne de caractères aléatoire%

 Porte dérobée Serveur de contact:
Tous les suivants:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • L'ID de la plateforme
    • L'activité local des utilisateurs

 Informations divers Mutex:
Il crée les Mutex suivants:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.

Description insérée par Irina Boldea le lundi 19 septembre 2005
Description mise à jour par Irina Boldea le mardi 27 septembre 2005

Retour . . . .