Nom:TR/Click.VB.FO
La date de la découverte:02/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:79.872 Octets
Somme de contrôle MD5:c3c8b6dac9c0a0cd27c3edf1822ed786
Version VDF:6.36.00.71
Version IVDF:6.36.00.86 - lundi 9 octobre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Clicker.Win32.VB.fo
   •  F-Secure: Trojan-Clicker.Win32.VB.fo
   •  Grisoft: Clicker.DCK
   •  Eset: Win32/TrojanClicker.VB.FO


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %SYSDIR%\temp.reg

%SYSDIR%\WinVer.ini
%SYSDIR%\wmpStatus.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.VB.DT.2

%le dossier d'exécution du malware%\a.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%WINDIR%\svchost.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.VB.DT.1.B

%WINDIR%\boot.ini Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.Agent.VP.2

%WINDIR%\userinit.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.Agent.VP.2

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Netwscsvc]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%WINDIR%\svchost.exe
   • "DisplayName"="Network wscsvc sharedaccess Service"
   • "ObjectName"="LocalSystem"
   • "Description"="???????????"

– [HKLM\SYSTEM\CurrentControlSet\Services\Netwscsvc\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\Netwscsvc\Enum]
   • "0"="Root\\LEGACY_NETWSCSVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   L'ancienne valeur:
   • "AcceptLanguage"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AcceptLanguage"="zh-cn"

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Adriana Popa le jeudi 5 octobre 2006
Description mise à jour par Adriana Popa le lundi 9 octobre 2006

Retour . . . .