Nom:TR/Spy.BZub.GM
La date de la découverte:01/02/2007
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:92.888 Octets
Somme de contrôle MD5:9344dfb9f65beef177b148ce0f5ad071
Version VDF:6.37.01.10 - jeudi 1 février 2007
Version IVDF:6.37.01.10 - jeudi 1 février 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.BZub.hv
   •  F-Secure: Trojan-Spy.Win32.BZub.hv
   •  Sophos: Troj/Dloadr-ASR


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il vole de l'information

 Fichiers  Il supprime les fichiers suivants:
   • %PROGRAM FILES%\Mozilla Firefox\xpcom.dll
   • %PROGRAM FILES%\Mozilla Firefox\softokn3.dll
   • %PROGRAM FILES%\Mozilla Firefox\nss3.dll
   • %PROGRAM FILES%\Mozilla Firefox\js3250.dll
   • %PROGRAM FILES%\Opera\opera.dll
   • %PROGRAM FILES%\Opera\spellcheck.dll



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\info.txt
   • c:\1.txt

%SYSDIR%\ipv6monl.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.BZub.HV

– c:\1.bat

 Registre Les valeurs de la clé de registre suivante sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • h
   • wspopp
   • forwas
   • nw
   • worg
   • cryptpa
   • tas
   • tannumr
   • tantotl
   • taloinata
   • pops
   • ip
   • scrensos
   • faddress
   • fter
   • ftass
   • uincl
   • pstincl
   • ptexcl



Il enregistre un objet d'aide du navigateur en ajoutant les clés suivantes:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Enable Browser Extensions"="yes"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
   • "ThreadingModel"="apartment"
   • "(Default)"="%SYSDIR%\ipv6monl.dll"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKCR\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   browser helper objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]


Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"="%PROGRAM
      FILES%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • "cmpid"=%valeurs hexa%
   • "worg"=%valeurs hexa%
   • "net_insll"=%la date courante%
   • "info_sze"=%valeurs hexa%
   • "ino"=%valeurs hexa%
   • "timeu"=%date dans le future%
   • "h"=%date dans le future%

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • https://banking.*.de/
   • e-gold.com
   • banking.postbank.de
   • https://*.netbank.commbank.com.au/netbank/bankmain
   • signin.ebay.com
   • https://sitekey.bankofamerica.com/
   • https://my.if.com/
   • https://olb2.nationet.com
   • https://ibank.barclays.co.uk/

– Il capture:
    • Frappes de touche
    • Fenêtre d'information
    • Information du compte

Description insérée par Cristian Dobre le vendredi 2 février 2007
Description mise à jour par Andrei Ivanes le mercredi 28 février 2007

Retour . . . .