Description complète

Nom:	ADSPY/WinAD.AF.1
La date de la découverte:	07/07/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	51.272 Octets
Somme de contrôle MD5:	7c282c5a5c5491f753284a614f57c375
Version VDF:	6.31.00.168

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Eset: Win32/Adware.WUpd
   • Bitdefender: Trojan.Delautoexec.51272.A

Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Media Access\MediaAccess.exe

Il crée le répertoire suivant:
   • %PROGRAM FILES%\Media Access

Le fichier suivant est créé:

– Fichier inoffensif:
   • %SYSDIR%\ide21201.vxd

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://static.windupdates.com/Release/v20/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\Media Access\MediaAccK.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://static.windupdates.com/Release/v20/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\Media Access\MediaAccC.dll Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://static.windupdates.com/Release/v20/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\Media Access\Info.txt Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Media Access"="%PROGRAM FILES%\Media Access\MediaAccK.exe"

Les clés de registre suivantes sont ajoutée:

– [HKCR\AppID\{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}]
   • @="LoaderX"

– [HKCR\AppID\LoaderX.EXE]
   • "AppID"="{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}"

– [HKCR\MediaAccess.Installer]
   • @="Installer Class"

– [HKCR\MediaAccess.Installer\CLSID]
   • @="{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}"

– [HKCR\MediaAccess.Installer\CurVer]
   • @="MediaAccess.Installer"

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}]
   • @="Installer Class"
   • "AppID"="{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}"

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\
   Implemented Categories]
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\
   Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\LocalServer32]
   • @="%PROGRAM FILES%\Media Access\MediaAccess.exe"

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\ProgID]
   • @="MediaAccess.Installer"

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\Programmable]
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\TypeLib]
   • @="{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}"

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\
   VersionIndependentProgID]
   • @="MediaAccess.Installer"

– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}]
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0]
   • @="LoaderX 1.0 Type Library"

– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0]
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0\win32]
   • @="%PROGRAM FILES%\Media Access\MediaAccess.exe"

– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\HELPDIR]
   • @="%PROGRAM FILES%\Media Access\"

– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}]
   • @="IInstaller"

– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\TypeLib]
   • @="{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}"
   • "Version"="1.0"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   Media Access]
   • "UninstallString"="%PROGRAM FILES%\Media Access\MediaAccess.exe /Remove"
   • "DisplayName"="Media Access"

Porte dérobée Serveur de contact:
Le suivant:
• http://www.windupdates.com/**********

En conséquence il peut envoyer de l'information.

Informations divers Mutex:
Il crée le Mutex suivant:
• MediaAccess

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Adriana Popa le mardi 19 décembre 2006
Description mise à jour par Adriana Popa le mardi 19 décembre 2006

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils