Nom:TR/PSW.Lmir.aae.3
La date de la découverte:08/07/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:19.929 Octets
Somme de contrôle MD5:0247bbc64162b9981ad008a59891d3da
Version VDF:6.31.0.168

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Trojan
   •  Kaspersky: Trojan-PSW.Win32.Lmir.aae
   •  Bitdefender: Trojan.Pws.Lmir.AAE


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\yklgvh.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%WINDIR%\SchedLgU.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     
     [ ***** Most recent entry is above this line ***** ]
     
     

%SYSDIR%\Yklgvh.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSWTR.PSW.aae.2

%SYSDIR%\drivers\yklgvh.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.K.1




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • kissyou8**********.com/pcshare.txt
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\pcshare.txt Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • pcshare.txt
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\dlfile.asp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "DisplayName"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Enum]
   • "0"="Root\\LEGACY_YKLGVH\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000]
   • "Service"="Yklgvh"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "ImagePath"=\??\%SYSDIR%\drivers\Yklgvh.sys

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath"=%SYSDIR%\Yklgvh.exe -k netsvcs

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • Internet Explorer


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Sergiu Oprea le mercredi 3 août 2005
Description mise à jour par Sergiu Oprea le vendredi 30 septembre 2005

Retour . . . .