Description complète

Nom:	TR/Hijack.Explor.1
La date de la découverte:	28/06/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	45.056 Octets
Somme de contrôle MD5:	f508e5a83c339e32a4e0d1185873dea2
Version VDF:	6.35.00.88
Version IVDF:	6.35.00.99 - vendredi 30 juin 2006

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Proxy.Win32.Small.ez
   • TrendMicro: TROJ_SMALL.DEF
   • F-Secure: Trojan-Proxy.Win32.Small.ez
   • Grisoft: Proxy.FRE
   • Eset: Win32/Agent.PA

Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\svcroot.exe

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe svcroot.exe"

Porte dérobée Les ports suivants sont ouverts:

– iexplore.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.
– iexplore.exe sur le port TCP 5050 afin d'offrir accès à la ligne de commande.

Serveur de contact:
Le suivant:
   • http://www.site.ru/socks/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Vitesse du CPU
    • Le temps de fonctionnement du Malware
    • Port ouvert
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • iexplore.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

La technologie Rootkit Il cache les suivants:
– Ses propres clés de registre

La méthode utilisée:
• Caché de Windows API

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le mercredi 25 octobre 2006
Description mise à jour par Adriana Popa le mercredi 25 octobre 2006

Retour . . . .