Nom:TR/Krotten.W.1
La date de la découverte:02/02/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:54.565 Octets
Somme de contrôle MD5:fb5c2265f8aec5ef7282ffd1e26bb1b3
Version VDF:6.33.00.187
Version du moteur de scan:54.565

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Krotten.ao


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\Cursors\avp.exe
   • svchost = %WINDIR%\Web\rundll32.exe



Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKCR\regfile\shell\open\command]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer]
   La nouvelle valeur:
   • NoViewContextMenu = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKCU\Control Panel\Desktop]
   La nouvelle valeur:
   • MenuShowDelay = 9999
   • WallpaperOriginY = 187
   • WallpaperOriginX = 210

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

La page de démarrage d'Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • Start Page = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Start Page = http://poetry.rot**********

– [HKEY_LOCAL_NACHINE\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • Start Page = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Start Page = http://poetry.rot**********

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKLM\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
   La nouvelle valeur:
   • {20D04FE0-3AEA-1069-A2D8-08002B30309D} = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   La nouvelle valeur:
   • NoAddRemovePrograms = dword:00000001

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le mercredi 8 mars 2006
Description mise à jour par Andrei Gherman le mercredi 8 mars 2006

Retour . . . .