Nom:TR/PSW.Lmir.51944
La date de la découverte:11/09/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:51.963 Octets
Somme de contrôle MD5:d72a7db27962cdb93efb82737ef6cdaf
Version VDF:6.35.01.208
Version IVDF:6.35.01.212 - mardi 12 septembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: PWS-WoW trojan
   •  Kaspersky: Trojan-PSW.Win32.WOW.ih
   •  TrendMicro: TSPY_WOW.LW
   •  F-Secure: Trojan-PSW.Win32.WOW.ih


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\LSASS.exe
   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.com
   • %PROGRAM FILES%\Common Files\INTEXPLORE.pif
   • %WINDIR%\EXERT.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\Debug\DebugProgram.exe
   • D:\command.com



Le fichier suivant est créé:

– D:\autorun.inf

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ToP"="%WINDIR%\LSASS.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
   • @="%1"

– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
   • @="%WINDIR%\EXERT.exe "%1" %*"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Check_Associations"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Check_Associations"="No"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\CLSID\{%CLSID%}\shell\OpenHomePage\Command]
   L'ancienne valeur:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com""

– [HKCR\ftp\shell\open\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\htmlfile\shell\open\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" %1"

– [HKCR\http\shell\open\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   L'ancienne valeur:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   La nouvelle valeur:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKCR\.exe]
   L'ancienne valeur:
   • @="exefile"
   La nouvelle valeur:
   • @="WindowFiles"

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • MMSK; RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV;
      KREG; IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA


 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • World of old oriental legends
   • World of Warcraft
   • Zhengtu

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le lundi 25 septembre 2006
Description mise à jour par Adriana Popa le lundi 25 septembre 2006

Retour . . . .