Nom:TR/Norip.1
La date de la découverte:20/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:89.911 Octets
Somme de contrôle MD5:c38df15f1aae333a7dac39cb9646ed55
Version VDF:6.35.00.195
Version IVDF:6.35.00.235

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\LSASS.EXE
   • %WINDIR%\EXERT.EXE
   • %WINDIR%\Debug\DebugProgram.exe

   • %SYSDIR%\MSCONFIG.EXE
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com

   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.COM
   • %PROGRAM FILES%\Common Files\INTEXPLORE.PIF



Il peut corrompre les dossiers suivants :
   • RAVMON.EXE
   • TROJDIE*
   • KPOP*
   • CCENTER*
   • *ASSISTSE*
   • KPFW*
   • AGENTSVR*
   • KV*
   • KREG*
   • IEFIND*
   • IPARMOR*
   • SVI.EXE
   • UPHC*
   • RULEWIZE*
   • FYGT*
   • RFWSRV*
   • RFWMA*

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ToP = %WINDIR%\LSASS.exe



Les clés de registre suivantes sont ajoutée:

– [HKCR\WindowFiles]

– [HKCR\WindowFiles\DefaultIcon]
   • @ = %1

– [HKCR\WindowFiles\Shell]

– [HKCR\WindowFiles\Shell\Open]

– [HKCR\WindowFiles\Shell\Open\Command]
   • @ = %WINDIR%\EXERT.exe "%1" %*



Les clés de registre suivantes sont changées:

– [HKCR\.exe]
   La nouvelle valeur:
   • @ = WindowFiles

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • Check_Associations = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Check_Associations = No

– [HKCR\Applications\iexplore.exe\shell\open\command]
   L'ancienne valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   L'ancienne valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com"

– [HKCR\ftp\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\htmlfile\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCR\htmlfile\shell\opennew\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" %1

– [HKCR\http\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" -nohome

 Arrêt de processus: Le processus suivant est terminé:
   • RAVMON.EXE

Les processus avec une des chaînes de caractères suivantes sont terminés:
   • TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
      IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA


 Porte dérobée Serveur de contact:
Un des suivants::
   • http://upd.etsoft.com.cn/UPD/**********
   • http://upd.etsoft.com.cn/upd/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le vendredi 28 juillet 2006
Description mise à jour par Andrei Gherman le vendredi 28 juillet 2006

Retour . . . .