Nom:TR/Agent.121
La date de la découverte:17/03/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:24.577 Octets
Somme de contrôle MD5:27cdc487080B61e035fffb686fd882ae
Version VDF:6.34.00.61

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: PWSteal.Reoxtan
   •  Mcafee: PWS-Reox
   •  TrendMicro: TSPY_REOX.F
   •  Bitdefender: Trojan.Spy.Reox.E


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\service\explorer.exe



Le fichier suivant est créé:

%SYSDIR%\service\dllp.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://ccunion.org/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\compress.exe

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • 1 = %SYSDIR%\service\explorer.exe



Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\]
   La nouvelle valeur:
   • DoNotAllowExceptions = 0
   • EnableFirewall = 0
   • DisableNotifications = 1

– [HKLM\SOFTWARE\Microsoft\Security Center\]
   La nouvelle valeur:
   • AntiVirusDisableNotify = 1

 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\service\explorer.exe sur le port TCP 47800 afin de fonctionner comme serveur proxy.


Serveur de contact:
Tous les suivants:
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Nom de l'ordinateur
    • Crée de fichiers de journalisation.
    • L'adresse IP:
    • Information sur le réseau
    • Port ouvert
    • Information sur des processus courants
    • Les informations rassemblées, décrites dans la section


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Commence le keylog

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete

– Les mots de passe des programmes suivants:
   • Outlook
   • Far
   • The Bat
   • WinCmd
   • Edialer

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW

Description insérée par Andrei Gherman le vendredi 7 avril 2006
Description mise à jour par Andrei Gherman le vendredi 7 avril 2006

Retour . . . .