Nom:TR/Renova.A
La date de la découverte:19/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:34.816 Octets
Somme de contrôle MD5:aced41c2c5f1a66a9288fba1a5fdbeba
Version VDF:6.35.00.185
Version IVDF:6.35.00.225

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Agent.qj
   •  Bitdefender: Trojan.Renova.A


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\emma.exe
   • %SYSDIR%\nova.exe
   • %SYSDIR%\alisa.exe
   • %PROGRAM FILES%\Common Files\Renova.exe




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\emma.exe


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\alisa.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Shell"="%PROGRAM FILES%\Common Files\Renova.exe"



La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Renova"="Nova.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%PROGRAM FILES%\Common Files\Renova.exe"

– [HKLM\SYSTEM\ControlSet%nombre%\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%PROGRAM FILES%\Common Files\Renova.exe"

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   L'ancienne valeur:
   • "CheckedValue"=%réglages définis par l'utilisateur%
   • "DefaultValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "CheckedValue"=dword:00000002
   • "DefaultValue"=dword:00000002

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   L'ancienne valeur:
   • "CheckedValue"=%réglages définis par l'utilisateur%
   • "DefaultValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "CheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000002

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   L'ancienne valeur:
   • "CheckedValue"=%réglages définis par l'utilisateur%
   • "DefaultValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "CheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000001

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoSaveSettings"=%réglages définis par l'utilisateur%
   • "NoFolderOptions"=%réglages définis par l'utilisateur%
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   • "NoControlPanel"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoSaveSettings"=dword:00000000
   • "NoFolderOptions"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000000
   • "NoControlPanel"=dword:00000000

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
     "DisabletaskMgr"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000000
     "DisabletaskMgr"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   L'ancienne valeur:
   • "DisableConfig"=%réglages définis par l'utilisateur%
     "DisableSR"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableConfig"=dword:00000001
     "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
     "Userinit"="%SYSDIR%\userinit.exe"
   La nouvelle valeur:
   • "Shell"="explorer.exe "%PROGRAM FILES%\Common Files\Renova.exe"
     "Userinit"="explorer.exe "%PROGRAM FILES%\Common Files\Renova.exe"

– [HKCU\Software\Policies\Microsoft\Windows\System]
   L'ancienne valeur:
   • "DisableCMD"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000000

 Arrêt de processus: Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • CompactbyteAV; Advanced Registry Tracer; Setup - iKnowPS; iKnowPS;
      RamCleaner; System Cleaner; TuneUp RegistryCleaner; Antivirus Scanner;
      Zanda's little helper; Norman Generic Fix; NVC v5.81 Setup; Norman
      Virus Control - InstallShield Wizard; Process Explorer - Sysinternals:
      www.sysinternals.com; Pocket Killbox; RegCleaner 4.1 by Jouni Vuorio;
      Security Task Manager Versi shareware tanpa registrasi; Security Task
      Manager; Installation; EULA; PowerDVD; Windows Media Player; System
      Restore; Restrictions; Close Programs; Close Program; Task Manager;
      HijackThis; HijackThis - v1.99.1; Else; TURN 0FF REN0VA; Renova
      Aliciana; Microsoft Configuration Utility; System Configuration
      Utility; Registry Editor; open; Windows Task Manager; Renova Emira;
      RABIAH; RABI'AH; MANTIK; PLATO; KINDI; IMAMAH; MATURID; HARUN NAS;
      IZUTSU; TEOLOGI; SUFI; PARTAI; HASAN ALBANA; IKHWANUL MUSLIMIN;
      TAHRIR; ARISTOTELES; GIBRAN; GHAZALI; IHYA; GENDER; PLURALISME; SYIAH;
      SYI'AH; DEMOCRA; DEMOKRA; LIBERAL; TASAWUF; SAMIR; YUNAN; QUTH;
      EMANSIP; PHILOSOP; MUTAZILAH; MU'TAZILAH; FILOSOF; FILSAFAT;
      REALPLAYER; CLEANER; MOVZX; REMOVER; ZANDA; MACHINE; CILLIN; CILIN;
      AVAST; GRISOFT; PROCEXP; NORTON; EARTHLINK PROTECTION; WASHER;
      COMPACTBYTEAV; ADVANCED REGISTRY TRACER; KILL; CASTLECOPS; SOPHOS;
      F-SECURE; REGISTRYFIX; PANDA; SECUNIA; TREND; SYMANTEC; KASPERSKY;
      AVG; MCAFEE; NVC; NORMAN; VAKSIN; HACKER; PROCESS EXPLORER -
      SYSINTERNALS; PCMAV; HIJACK; KILLBOX; VIRUS; ANTI; EMIKO SHIRATORI;
      FAYE WONG; UEMATSU; NUOBUO; NOUBUO; NOBUO; NUBUO; MADONNA; MADONA;
      BENNINGTON; BENINGTON; GUN AND ROSE; GUN N ROSE; BLUR; SAMMY; PEARL;
      NAZARE; FRENTE; CRANBER; RADIOHEAD; RADIO HEAD; STING; SAYBIA; KEANE;
      GROBAN; ALTER; STEFAN; GWEN; MAROON; ANTHEM; GROOVE COVARAGE; PRODIGY;
      AGUILERA; BEDING; METALLICA; GUN N'ROSES; ALICIA KEYS; TATA YOUNG; BOY
      ZONE; MICHEL; MICHAEL; MICHEAL; MLTR; MARTYN; MARTIN; SCORPION; LINKIN
      PARK; LINKINPARK; GREEN DAY; GREENDAY; HOOBASTANK; PETER; WEST; SPICE;
      BRITNEY; DEDI DOR; NIA DANIAT; DAHLIA; NIKE ARD; BAGASKARA; KATON;
      NAFF; TITIK PUSPA; TITIEK PUSPA; DELON; SNADA; JOSHUA; SHERINA;
      SERIEUS; SERIUES; SEURIUS; 10 2 5; TENTOFIVE; TEN2FIVE; 10 TO 5; TEN
      TO FIVE; TEN 2 FIVE; CHRISYE; SO7; SHEILA; GLENN; AURIL; AVRIL; OPICK;
      AGNES; ANANG; NUGIE; HADAD; HADDAD; AB THREE; REZA; CAFEIN; CAFFEIN;
      RATU; RADJA; LALUNA; THE RAIN; UTOPIA; SPARK; BASEJAM; ENDANK; JAVA
      JIVE; MARCEL; BUNGLON; ANDRE HEHANU; FLANELA; BAIM; CANDIL; KOES P;
      MINORU; NUNO; YOVI; AUDY; TERE; WAYANG; BASE JAM; JIKUSTIK; SAMSON;
      PAS BAND; BOOMERANG; NAIF; COKELAT; KAPTEN BAND; TIC BAND; JAMRUD;
      KOTAK BAND; AMERICAN IDOL; INDONESIAN IDOL; TEAM LO; BUNGA; TIPE-X;
      TIPE X; ELEMENT; EMINEM; RAIHAN; RAYHAN; MELY; MELLY; UNGU; STINGKY;
      SLANK; INUL; PADI; IWAN FAL; ADABAND; ADA BAND; ROSA; KRISDAYANTI;
      NURHALIZA; DEWA; ARY LASO; ARY LASSO; ARI LASO; ARI LASSO; GIGI;
      CHEER; DANCE; SING; SONG; MP 3; MP3; MARAWIS; NASYID; DANGDUT; MELODI;
      MELODY; SENANDUNG; IRAMA; GITAR; GUITAR; NYANYI; LAGU; WINAMP; MUSIK;
      Shell_TrayWnd; MUSIC


 Informations divers Mutex:
Il crée les Mutex suivants:
   • Renova Emira
   • Renova Aliciana

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Adriana Popa le jeudi 27 juillet 2006
Description mise à jour par Adriana Popa le jeudi 27 juillet 2006

Retour . . . .