Nom:TR/Small.DBY.AF.3
La date de la découverte:14/02/2007
Type:Cheval de Troie
Sous type:SPY
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:37.747 Octets
Somme de contrôle MD5:8617ab4e033c0853cf1766de30cf6589
Version VDF:6.37.01.91
Version IVDF:6.37.01.92 - mercredi 14 février 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.ab
   •  Eset: Win32/Nuwar.gen worm
   •  Bitdefender: Trojan.Peed.ET


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers

 Fichiers Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\wincom32.ini

%SYSDIR%\wincom32.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Small.DBY.M.1

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
   • "\??\%SYSDIR%\wincom32.sys"

 Infection du réseau La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: wincom32.sys

    Nom du processus:
   • %SYSDIR%\services.exe


 La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Sa propre clé de registre


La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PEPACK

Description insérée par Viktor Graeber le mercredi 25 avril 2007
Description mise à jour par Viktor Graeber le vendredi 27 avril 2007

Retour . . . .