Nom:TR/Spy.Goldun.CI
La date de la découverte:11/10/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:10.296 Octets
Somme de contrôle MD5:AC5F9A4561DC118AD143CFF3331B9B4E
Version VDF:6.32.00.77

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Kaspersky: Trojan-Spy.Win32.Goldun.ci


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\msgalo.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Goldun.ci.2

 Registre Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}]
   • "plugin"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,c4,f4,d7,b2,40,91,21,52,08,97,d2
   • "notify"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,34,ec,df,c2,48,29,21,72,98,9f,da
   • "sbanker0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,\ 8c,9f,95,25,78,16,54,9c,0f,d2,60,41,21,52,f7,2f,0b
   • "form0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,c4,04,07,4a,c0,93,f3,32,68,06
   • "tripp0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,dc,14,0d,0a,38,61,52

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}\InprocServer32]
   • @="%SYSDIR%\msgalo.dll"
   • "ThreadingModel"="Apartment"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://hothosts.co.uk/**********/collect.php

Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • L'adresse IP:
    • Les informations rassemblées, décrites dans la section

 Vol d'informations – Une routine de journalisation est commencé après qu'un site web soit visité.
   • www.e-gold.com

– Il capture:
    • Fenêtre d'information
    • Information du compte

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Andrei Gherman le mardi 11 octobre 2005
Description mise à jour par Andrei Gherman le vendredi 14 octobre 2005

Retour . . . .