Nom:TR/PSW.Bedruger.2
La date de la découverte:27/06/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:23.184 Octets
Somme de contrôle MD5:b49d3526ce011d76063d8081333a9ef4
Version VDF:6.31.00.112

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: PWS-MMThief
   •  Kaspersky: Trojan-Spy.Win32.Agent.ei
   •  Sophos: Trojan-Spy.Win32.Agent.ei
   •  VirusBuster: trojan TrojanSpy.Agent.QJV
   •  Bitdefender: Trojan.Spy.Agent.EI


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\SVCH0ST.EXE



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

– Fichier inoffensif:
   • %SYSDIR%\mmdat.dat

%SYSDIR%\ntdll32.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Agent.GD

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



La clé de registre suivante est changée:

– [HKCR\exefile\shell\open\command]
   L'ancienne valeur:
   • @="\"%1\" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est ce qui suit:
   • mimathief@mimathief.com


A:
Le destinataire de l'email est le suivant:
   • vicimax@163.com


Sujet:
Le suivant:
   • %texte chinois%



Corps:

 
Le corps de l'email est le suivant:

   • %texte chinois%: %l'information volée%
     %l'URL visité%
     %texte chinois%: %l'information volée%
     %texte chinois%: %l'information volée%



L'email ressemble à celui-ci:


 Envoie de messages Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
   • 163.com

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\ntdll32.dll

    Nom du processus :
   • %tous les processus en exécution"


 Informations divers Mutex:
Il crée le Mutex suivant:
   • MimaThief

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PEcompact

Description insérée par Gabriel Mustata le vendredi 10 novembre 2006
Description mise à jour par Gabriel Mustata le jeudi 16 novembre 2006

Retour . . . .