Nom:TR/Proxy.Wopla.W
La date de la découverte:07/05/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:40.960 Octets
Somme de contrôle MD5:f53a5214c750dedbfb6dfe50ef3ae959
Version VDF:6.34.01.45
Version IVDF:6.34.01.46 - lundi 8 mai 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Trojan.Tannick.B
   •  Mcafee: Downloader-JF
   •  Kaspersky: Trojan-Proxy.Win32.Wopla.x
   •  TrendMicro: TROJ_WOPLA.V
   •  Sophos: Troj/Slogger-K
   •  VirusBuster: trojan Trojan.PR.Wopla.M
   •  Bitdefender: Trojan.Proxy.Wopla.X


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Registre La clé de registre suivante est ajoutée:

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Placeholder_Databt"="%valeurs hexa%"

 Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Adresses recueillies de l'Internet.


Sujet:
Le suivant:
   • %rassemblé sur l'Internet%



Corps:
Le corps de l'email est le suivant:
   • %rassemblé sur l'Internet%



L'email ressemble à celui-ci:


 Envoie de messages Recueillir des adresses:
Il recueille des adresses en entrant en contact avec le site web suivant:
   • http://208.66.195.44:8080

 Porte dérobée Serveur de contact:
Le suivant:
   • http://bt.secdep.**********



Capacités d'accès à distance:
    • Envoyer des e-mails

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Ionut Slaveanu le mardi 1 août 2006
Description mise à jour par Ionut Slaveanu le mardi 1 août 2006

Retour . . . .