Nom:TR/Drop.Stration.677
La date de la découverte:26/10/2006
Type:Cheval de Troie
Sous type:Dropper
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:109.100 Octets
Somme de contrôle MD5:41b787a3275255e4e17360ba59cdc763
Version VDF:6.36.01.60
Version IVDF:6.36.01.63 - mardi 21 novembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.dq
   •  Sophos: W32/Stratio-BW
   •  Eset: Win32/Stration.KQ

Avant, il était détecté comme:
   •  TR/Hijack.Explor.677


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Les fichiers suivants sont créés:

%SYSDIR%\audmgr32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.DQ

%SYSDIR%\audconf.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.DQ.2

%SYSDIR%\audperf.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.DQ.10

%SYSDIR%\audprf32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.DQ.3

%SYSDIR%\audstat.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.DQ.6

%SYSDIR%\confaud.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/Warezov.DQ.1

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   audmgr]
   • "Asynchronous"=dword:00000000
   • "DllName"="audmgr32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="WlxStartup"
   • "Shutdown"="WlxShutdown"



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "AppInit_DLLs"=""
   La nouvelle valeur:
   • "AppInit_DLLs"=" confaud.dll audstat.dll"

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW

Description insérée par Monica Ghitun le jeudi 26 octobre 2006
Description mise à jour par Adriana Popa le mardi 21 novembre 2006

Retour . . . .