Nom:TR/PSW.Raven.A
La date de la découverte:10/03/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:31.913 Octets
Somme de contrôle MD5:8b0908665655c086ae2277f913ec9a86
Version VDF:6.34.00.26

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msoff.exe



Les fichiers suivants sont créés:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%chaîne de caractères aléatoire% Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

%TEMPDIR%\jav2.tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contient des paramètres employé par le malware
– %ALLUSERSPROFILE%\raven2BG_%chaîne de caractères aléatoire%dat Ce fichier sert de drapeau à une routine interne.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Porte dérobée Le port suivant est ouvert:

– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 5.


Serveur de contact:
Tous les suivants:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.
    • Utilisateur courant
    • L'adresse IP:
    • Port ouvert
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Commence le keylog

 Vol d'informations Il essaie de voler l'information suivante:
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient la sous chaîne de caractères suivante dans son URL:
   • %paramètre introduit%

– Il capture:
    • Fenêtre d'information
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %TEMPDIR%\jav2.tmp

    Tous les processus suivants:
   • svchost.exe
   • lsass.exe


 Informations divers Mutex:
Il crée les Mutex suivants:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG 2.0

Description insérée par Andrei Gherman le mercredi 15 mars 2006
Description mise à jour par Andrei Gherman le mercredi 15 mars 2006

Retour . . . .