Nom:TR/PSW.Age.IM.133.C
La date de la découverte:13/12/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:18.180 Octets
Somme de contrôle MD5:8c2a06afed6325621832d9f5f654b351
Version VDF:6.37.00.08 - mercredi 13 décembre 2006
Version IVDF:6.37.00.08 - mercredi 13 décembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-PSW.Win32.Agent.im
   •  F-Secure: Trojan-PSW.Win32.Agent.im
   •  Sophos: Troj/PWS-ADS
   •  Grisoft: PSW.Agent.EBH
   •  Bitdefender: Trojan.PWS.Agent.FT


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il supprime le fichier suivant:
   • %SYSDIR%\drivers\etc\hosts



Le fichier suivant est créé:

%SYSDIR%\bdscheca100.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Age.IM.133.C

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}"=""

– [HKCR\CLSID\{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}]
– [HKCR\CLSID\{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}\InProcServer32]
   • @="%SYSDIR%\bdscheca100.dll"
   • "ThreadingModel"="Apartment"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://www.tinggoo.com/zt/**********

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:

– Le mot de passe du programme suivant:
   • Zhengtu

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: bdscheca100.dll

    Nom du processus :
   • %tous les processus en exécution"


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Adriana Popa le mercredi 10 janvier 2007
Description mise à jour par Adriana Popa le mercredi 10 janvier 2007

Retour . . . .