Nom:Joke/Renos.W
La date de la découverte:31/10/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:28.160 Octets
Somme de contrôle MD5:fa7582def8348c22b69a4bb360eff64b
Version VDF:6.32.00.117

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.s


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée un fichier
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • c:\winstall.exe



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\IESecurity.dll;
      C:\Program Files\SpySheriff\notfound.wav; C:\Program
      Files\SpySheriff\ProcMon.dll; C:\Program Files\SpySheriff\removed.wav;
      C:\Program Files\SpySheriff\SpySheriff.exe; C:\Program
      Files\SpySheriff\Uninstall.exe; C:\Program Files\SpySheriff\SpySheriff.dvm

– Il crée le fichier compressé suivant contenant une copie du malware:
   • %PROGRAM FILES%\asdfasdfasdfasdfasdfasdfasdfasdf

%WINDIR%\desktop.html



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www.spy**********.com/trial.php?rest=0&ver=14087464&a=00000088
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Application Data\Install.dat Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="c:\winstall.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoDesktop



Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKCU\SOFTWARE\Install]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • "DeskHtmlVersion"=dword:00000110
   • "DeskHtmlMinorVersion"=dword:00000005
   • "Settings"=dword:00000001
   • "GeneralFlags"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]
   • "Source"="About:Home"
   • "SubscribedURL"="About:Home"
   • "FriendlyName"="My Current Home Page"
   • "Flags"=dword:00000002
   • "Position"=hex:%valeurs hexa%
   • "CurrentState"=dword:40000004
   • "OriginalStateInfo"=hex:%valeurs hexa%
   • "RestoredStateInfo"=hex::%valeurs hexa%



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "Wallpaper"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Wallpaper"="%WINDIR%\desktop.html"

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "Pattern"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Pattern"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoDriveTypeAutoRun"=dword:%réglages définis par l'utilisateur%
     "NoActiveDesktop"=dword:%réglages définis par l'utilisateur%
     "ClassicShell"=dword:%réglages définis par l'utilisateur%
     "ForceActiveDesktopOn"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoDriveTypeAutoRun"=dword:00000091
     "NoActiveDesktop"=dword:00000000
     "ClassicShell"=dword:00000000
     "ForceActiveDesktopOn"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   L'ancienne valeur:
   • "WallpaperFileTime"=hex:%réglages définis par l'utilisateur%
     "WallpaperLocalFileTime"=hex:%réglages définis par l'utilisateur%
     "TileWallpaper"="%réglages définis par l'utilisateur%"
     "WallpaperStyle"="%réglages définis par l'utilisateur%"
     "ComponentsPositioned"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "WallpaperFileTime"=hex:be,a1,a0,ff,22,de,c5,01
     "WallpaperLocalFileTime"=hex:be,71,29,c3,33,de,c5,01
     "TileWallpaper"="0"
     "WallpaperStyle"="2"
     "ComponentsPositioned"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   L'ancienne valeur:
   • "NoChangingWallpaper"=dword:%réglages définis par l'utilisateur%
     "NoComponents"=dword:%réglages définis par l'utilisateur%
     "NoAddingComponents"=dword:%réglages définis par l'utilisateur%
     "NoDeletingComponents"=dword:%réglages définis par l'utilisateur%
     "NoEditingComponents"=dword:%réglages définis par l'utilisateur%
     "NoHTMLWallPaper"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoChangingWallpaper"=dword:00000000
     "NoComponents"=dword:00000000
     "NoAddingComponents"=dword:00000000
     "NoDeletingComponents"=dword:00000000
     "NoEditingComponents"=dword:00000000
     "NoHTMLWallPaper"=dword:00000000

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Iulia Diaconescu le mardi 1 novembre 2005
Description mise à jour par Iulia Diaconescu le lundi 12 décembre 2005

Retour . . . .