Nom:TR/Click.VB.PF
La date de la découverte:12/09/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:22.528 Octets
Somme de contrôle MD5:9fb4d2300fafec7989db659fbf73ac8a
Version VDF:6.35.01.215
Version IVDF:6.35.01.219 - mercredi 13 septembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Clicker.Win32.VB.pf
   •  TrendMicro: TROJ_VB.BKM
   •  F-Secure: Trojan-Clicker.Win32.VB.pf
   •  Grisoft: Clicker.CWG
   •  Eset: Win32/TrojanClicker.VB.OO


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\Services.exe



Le fichier suivant est créé:

%le dossier d'exécution du malware%\killme.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • www.sou15.com/fowfly/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\IeFavorites.txt

– L'emplacement est le suivant:
   • www.sou15.com/fowfly/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\adset.txt

– L'emplacement est le suivant:
   • www.sou15.com/fowfly/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\adlist.txt Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\Services.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • @=""
   • "W2KLpk"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014

 Porte dérobée Serveur de contact:
Le suivant:
   • www.sou15.com/fowfly/**********

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Le statut courant du malware

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Adriana Popa le jeudi 12 octobre 2006
Description mise à jour par Adriana Popa le jeudi 12 octobre 2006

Retour . . . .