Nom:BDS/Ginwui.A.4
La date de la découverte:22/05/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:73.245 Octets
Somme de contrôle MD5:6d69ab10c2e8194465ab25cbfb96dae6
Version VDF:6.34.01.120

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Ginwui.B
   •  Mcafee: BackDoor-CKB
   •  Kaspersky: Backdoor.Win32.Ginwui.a
   •  TrendMicro: BKDR_GINWUI.B
   •  Bitdefender: Backdoor.Ginwui.B


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\20060426.bak



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\zsydll.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Ginwui.A.DLL

%SYSDIR%\zsyhide.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Ginwui.A

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   La nouvelle valeur:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

 Porte dérobée Serveur de contact:
Le suivant:
   • http://scfzf.xi**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\zsydll.dll

    Nom du processus:
   • iexplore.exe


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le lundi 22 mai 2006
Description mise à jour par Andrei Gherman le lundi 22 mai 2006

Retour . . . .