Nom:TR/Proxy.Horst.bl
La date de la découverte:19/04/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:49.664 Octets
Somme de contrôle MD5:d06bf79493e4e41528f9ebf2d96a34a1
Version VDF:6.34.00.199
Version IVDF:6.34.00.201 - mercredi 19 avril 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\system\smss.exe



Les fichiers suivants sont créés:

%TEMPDIR%\tmp1.tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\nvsvcd.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://up.medbod.com/up/**********?jaal-1_%nombre%_%nombre%
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\%nombre%exmodul32.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%valeurs hexa%



La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



La clé de registre suivante est ajoutée:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%numéro hexadécimal%"
   • "Pid"=dword:00000c88

 Email De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Adresses recueillies de l'Internet.


Corps:
– Il contient du code HTML
Le contenu est le même que dans le fichier: http://seekj.lootseek.com/d/**********



L'email ressemble à celui-ci:


 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: info.cabmun.**********
Port: 5190
Pseudonyme: jaal-1_%nombre%_%nombre%

Serveur: up.barmuz.**********
Port: 1021
Pseudonyme: jaal-1_%nombre%_%nombre%


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier

 Porte dérobée Serveur de contact:
Le suivant:
   • http://rc.rizalof.com/**********?version=%nombre%



Il envoie de l'information au sujet de:
    • Le statut courant du malware

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Ionut Slaveanu le mercredi 14 juin 2006
Description mise à jour par Ionut Slaveanu le mercredi 28 juin 2006

Retour . . . .