Nom:TR/IRC.Ryknos.A
La date de la découverte:10/11/2005
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:10.240 Octets
Somme de contrôle MD5:ebe94809b68675feddfe2a2fa889f243
Version VDF:6.32.00.168

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Plateformes / Systèmes d'exploitation:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\$sys$drv.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé de registre suivante est ajoutée:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: 24.**********.45
Port: 8080
Canal: #sony
Pseudonyme: [%plusieurs chiffres aléatoires%-%système d'exploitation%]%chaîne de caractères aléatoire%

Serveur: 35.**********.93
Port: 8080
Canal: #sony
Pseudonyme: [%plusieurs chiffres aléatoires%-%système d'exploitation%]%chaîne de caractères aléatoire%

Serveur: 67.**********.190
Port: 8080
Canal: #sony
Pseudonyme: [%plusieurs chiffres aléatoires%-%système d'exploitation%]%chaîne de caractères aléatoire%

Serveur: 68.**********.76
Port: 8080
Canal: #sony
Pseudonyme: [%plusieurs chiffres aléatoires%-%système d'exploitation%]%chaîne de caractères aléatoire%

Serveur: 152.**********.186
Port: 8080
Canal: #sony
Pseudonyme: [%plusieurs chiffres aléatoires%-%système d'exploitation%]%chaîne de caractères aléatoire%


– Ensuite il a l'habilité d'opérer l'action suivante:
    • Télécharger un fichier

 Informations divers Mutex:
Il crée le Mutex suivant:
   • $sys$drv.exe

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Son propre fichier


La méthode utilisée:
    • Emploie le rootkit qui devient actif lors de l'installation de logiciel depuis le CD audio de Sony

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ivanes le jeudi 10 novembre 2005
Description mise à jour par Andrei Ivanes le lundi 14 novembre 2005

Retour . . . .