Nom:TR/VB.QN.1
La date de la découverte:20/12/2004
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:77.312 Octets
Somme de contrôle MD5:976753dd82759b6ca8f5c4b62cc25f92
Version VDF:6.29.00.24

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Prutec
   •  Kaspersky: Trojan-Spy.Win32.VB.eh
   •  Sophos: Troj/Prutec-K
   •  Bitdefender: Trojan.Spy.VB.ED


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %le dossier d'exécution du malware%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %lecteur système racine%\~



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %le dossier d'exécution du malware%\key.~
   • %le dossier d'exécution du malware%\log.~

%TEMPDIR%\%numéro hexadécimal%.exe



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://prutect.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %le dossier d'exécution du malware%\iniwin32.dll Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/E2Give.D

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH



Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{%le CLSID généré%}]
   • "InprocServ32"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]
   • @="CControl Object"
   • "AppID"=""
   • "AppId2"=dword:%numéro hexadécimal%
   • "AppID3"="Verified"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\InprocServer32]
   • "ThreadingModel"="apartment"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\ProgID]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\Programmable]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\TypeLib]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\
   VersionIndependentProgID]
– [HKCR\AppID\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}]
– [HKCR\AppID\IeBHOs.DLL]
– [HKCR\IeBHOs.Control\CurVer]
   • @="IeBHOs.Control.1"

– [HKCR\IeBHOs.Control\CLSID]
– [HKCR\IeBHOs.Control.1\CLSID]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\0\win32]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\FLAGS]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\HELPDIR]
– [HKLM\SOFTWARE\E2G]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]


La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "AppInit_DLLs"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "AppInit_DLLs"="iniwin32.dll"

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://prutect.com/**********
   • http://prutect.com/**********
   • http://216.122.145.209/**********
   • http://216.122.145.208/**********
   • http://prutect.com/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.
Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.
Le réponse du serveur est écrit dans le fichier: %le dossier d'exécution du malware%\data.~


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • L'ID de la plateforme
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Télécharger un fichier
    • Visiter un site web

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Daniel Constantin le jeudi 4 mai 2006
Description mise à jour par Daniel Constantin le jeudi 4 mai 2006

Retour . . . .