Nom:ADSPY/Virtumonde.B
La date de la découverte:14/06/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:47.629 Octets
Somme de contrôle MD5:5b00c4a26bfb132b7c5b8692949d227b
Version VDF:6.35.00.23
Version IVDF:6.35.00.29 - jeudi 15 juin 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   •  TrendMicro: TROJ_VUNDO.BC
   •  Bitdefender: Trojan.Virtumod.T


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\%chaîne de caractères aléatoire de sept digits%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/Virtumonde.B

%TEMPDIR%\removalfile.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%chaîne de caractères aléatoire de sept digits%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%chaîne de caractères aléatoire de sept digits%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\%chaîne de caractères aléatoire de sept digits%.dll

    Tous les processus suivants:
   • explorer.exe
   • WINLOGON.EXE


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers

Description insérée par Marius T. Nicolae le mercredi 6 septembre 2006
Description mise à jour par Andrei Ivanes le mardi 5 décembre 2006

Retour . . . .