Nom:TR/Renos.28160
La date de la découverte:18/01/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:28.160 Octets
Somme de contrôle MD5:1ac77505fc560F58c1fb5f944a4c3336
Version VDF:6.37.00.171
Version IVDF:6.37.00.187 - jeudi 18 janvier 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.gs
   •  F-Secure: not-virus:Hoax.Win32.Renos.gs
   •  Sophos: Troj/Spywad-AO
   •  Eset: Win32/Adware.SpySheriff


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal.exe

– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal.lic

– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: PHISH/FraudTool.SpySheriff.A.6


– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal0.sm

– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Zlob.127488


– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal1.sm

– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal2.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: PHISH/FraudTool.SpySheriff.A.5


– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\SpyMarshal3.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: PHISH/FraudTool.SpySheriff.A.7


– L'emplacement est le suivant:
   • http://www.SpyMarshal.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\Uninstall.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows update loader = %WINDIR%\xpupdate.exe
   • SpyMarshal = %PROGRAM FILES%\SpyMarshal\SpyMarshal.exe



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   La nouvelle valeur:
   • NoChangingWallpaper = dword:00000000
   • NoComponents = dword:00000000
   • NoAddingComponents = dword:00000000
   • NoDeletingComponents = dword:00000000
   • NoEditingComponents = dword:00000000
   • "NoHTMLWallPaper"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NoActiveDesktop = dword:00000000
   • ClassicShell = dword:00000000
   • ForceActiveDesktopOn = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • Wallpaper = %WINDIR%\desktop.html

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   La nouvelle valeur:
   • WallpaperFileTime = %valeurs hexa%
   • WallpaperLocalFileTime = %valeurs hexa%
   • ComponentsPositioned = dword:00000002

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le mardi 20 mars 2007
Description mise à jour par Andrei Gherman le mardi 20 mars 2007

Retour . . . .