Nom:TR/Small.DBY.Q
La date de la découverte:24/01/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:6.254 Octets
Version VDF:6.37.00.196
Version IVDF:6.37.00.212 - mercredi 24 janvier 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Small.ciw
   •  F-Secure: Trojan-Downloader.Win32.Small.ciw
   •  Eset: Win32/Nuwar.P


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\lnwin.exe




Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • netsh.exe
Il exécute le fichier avec les paramètres suivantes : firewall set allowedprogram %le fichier exécuté% enable

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lnwin.exe"="%SYSDIR%\lnwin.exe"

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://209.123.8.198/files/**********
   • http://209.123.8.198/files/**********


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Gabriel Mustata le mercredi 28 février 2007
Description mise à jour par Gabriel Mustata le jeudi 1 mars 2007

Retour . . . .