Nom:TR/Virtumonde.26730
La date de la découverte:02/04/2007
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:26730 Octets
Somme de contrôle MD5:731396df61f1cedc2b70ab33ebb0c0b3
Version VDF:6.38.00.161
Version IVDF:6.38.00.165 - mardi 3 avril 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chaîne de caractères aléatoire de cinq digits%.dll




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://89.188.16.15/ths/lo1.dll**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\%chaîne de caractères aléatoire de cinq digits%.dll Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%le temps courant%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%numéro hexadécimal%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %le fichier exécuté%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%le fichier exécuté%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000



Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "1A10"=%réglages définis par l'utilisateur%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%numéro hexadécimal%

 Porte dérobée Serveur de contact:
Le suivant:
   • http://65.243.103.80/80/67247**********&t=%la date courante%**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Tous les processus suivants:
   • Explorer.exe
   • Winlogon.exe
   • %Processus avec les fenêtres visibles%


 Informations divers Mutex:


Il crée un des Mutex suivants:
   • _ConsprMutx
   • awx_mutant

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le jeudi 19 avril 2007
Description mise à jour par Monica Ghitun le jeudi 19 avril 2007

Retour . . . .