Nom:TR/Agent.AKB.2
La date de la découverte:18/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:646.419 Octets
Somme de contrôle MD5:1c3569b0b1a18f7d627e7a75d83e473b
Version VDF:6.36.00.127
Version IVDF:6.36.00.144 - vendredi 20 octobre 2006

 Général L'alias:
   •  Kaspersky: Backdoor.Win32.VB.awr


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Arrêt les applications de sécurité
   • Il crée un fichier
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %WINDIR%\MSWINSCK.OCX

%WINDIR%\offlog.txt Ce fichier contient des frappes de touche collectés.

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



La clé de registre suivante est changée:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Arrêt de processus:  La liste des services qui sont désactivés:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Porte dérobée Serveur de contact:
Le suivant:
   • exclusive72.no-ip.**********:1338

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Il capture:
    • Frappes de touche

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Bogdan Iliuta le lundi 30 octobre 2006
Description mise à jour par Bogdan Iliuta le mercredi 15 novembre 2006

Retour . . . .