Description complète

Nom:	TR/PSW.Maran.G.5
La date de la découverte:	02/08/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	52.599 Octets
Somme de contrôle MD5:	c851c808d7a10F0E45a7f0771b152a64
Version VDF:	6.35.01.35
Version IVDF:	6.35.01.35

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %SYSDIR%\sporder.dll

– %SYSDIR%\gzfmxp.dll
– %SYSDIR%\hjxrbpv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Maran.M

– %SYSDIR%\narbpv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Maran.M.1

– %SYSDIR%\xprasu.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Maran.M.2

– %SYSDIR%\xpvlporn.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre La clé de registre suivante est ajoutée:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valeurs hexa%

Les clés de registre suivantes sont changées:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   La nouvelle valeur:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   La nouvelle valeur:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valeurs hexa%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   La nouvelle valeur:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valeurs hexa%

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Marius T. Nicolae le lundi 18 septembre 2006
Description mise à jour par Andrei Ivanes le mercredi 18 octobre 2006

Retour . . . .