Description complète

Nom:	TR/Vb.akv
La date de la découverte:	18/05/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen à élevé
Fichier statique:	Oui
Taille du fichier:	188.416 Octets
Somme de contrôle MD5:	fdd2e621aca76fd503535376e4063118
Version VDF:	6.34.01.99
Version IVDF:	6.34.01.101 - jeudi 18 mai 2006

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.VB.akz
   • F-Secure: Trojan.Win32.VB.akz
   • Eset: Win32/VB.AKZ
   • Bitdefender: Trojan.Vb.AKZ

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\jjakarta.exe
   • %HOME%\My Documents\ttrans.exe
   • %SYSDIR%\ooke.exe
   • %repertoire actuel%\%nom de liste actuelle%.exe

Il supprime les fichiers suivants:
   • %repertoire actuel%\*.exe
   • %repertoire actuel%\*.txt
   • %repertoire actuel%\*.com
   • %repertoire actuel%\*.reg
   • %repertoire actuel%\*.inf
   • %repertoire actuel%\*.rar

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\~%numéro hexadécimal%.tmp

– %HOME%\My Documents\Baca.html

Registre Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\MS Setup (ACME)]
– [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
   • "DefCompany"="Terima kasih kepada Vaksin.Com"
   • "DefName"="Terima kasih kepada Vaksin.Com"

Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • "FullPath"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FullPath"=dword:00000001

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • "FullPath"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FullPath"=dword:00000001

– [HKCR\Directory]
   L'ancienne valeur:
   • "InfoTip"="prop:DocComments"
   La nouvelle valeur:
   • "InfoTip"=""
   • "TileInfo"=""

– [HKCR\Directory\DefaultIcon]
   L'ancienne valeur:
   • @="%SystemRoot%\System32\shell32.dll,3"
   La nouvelle valeur:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\Folder]
   L'ancienne valeur:
   • "TileInfo"="prop:Size"
   La nouvelle valeur:
   • "TileInfo"=""
   • "InfoTip"=""

– [HKCR\Folder\DefaultIcon]
   L'ancienne valeur:
   • @="%SystemRoot%\System32\shell32.dll,3"
   La nouvelle valeur:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\exefile]
   L'ancienne valeur:
   • @="Application"
   • "TileInfo"="prop:FileDescription;Company;FileVersion"
   • "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
   La nouvelle valeur:
   • @="File Folder"
   • "TileInfo"=""
   • "InfoTip"=""
   • "NeverShowExt"=""

– [HKCR\txtfile\shell\open\command]
   L'ancienne valeur:
   • @="%SystemRoot%\system32\NOTEPAD.EXE %1"
   La nouvelle valeur:
   • @="%SYSDIR%\OOKE.EXE %1"

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "HideFileExt"=%réglages définis par l'utilisateur%
   • "ClassicViewState"=%réglages définis par l'utilisateur%
   • "SuperHidden"=%réglages définis par l'utilisateur%
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "HideFileExt"=dword:00000001
   • "ClassicViewState"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "HideFileExt"=%réglages définis par l'utilisateur%
   • "SuperHidden"=%réglages définis par l'utilisateur%
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
   • "ClassicViewState"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000
   • "ClassicViewState"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "DisableCAD"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   L'ancienne valeur:
   • "RegisteredOrganization"=%réglages définis par l'utilisateur%
   • "RegisteredOwner"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "RegisteredOrganization"="Terima kasih kepada Vaksin.Com"
   • "RegisteredOwner"="Terima kasih kepada Vaksin.Com"

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
   L'ancienne valeur:
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="explorer.exe"
   La nouvelle valeur:
   • "Shell"="explorer.exe jjakarta.exe"

Arrêt de processus: Les processus contenant un des titres de fenêtre suivants sont arrêtés:
• windows task manager
• search results

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Adriana Popa le vendredi 24 novembre 2006
Description mise à jour par Adriana Popa le vendredi 24 novembre 2006

Retour . . . .