Nom:TR/Drop.LdPinch.dvx
La date de la découverte:23/10/2007
Type:Cheval de Troie
Sous type:Dropper / Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:28.672 Octets
Somme de contrôle MD5:67f88bf5ae4a4c64dbee3de00Dc8fc0C
Version IVDF:7.0.0.125

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Spy-Agent.bg
   •  Eset: Win32/PSW.LdPinch.DVX trojan


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée un fichier malveillant

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\9129837.exe



Les fichiers suivants sont créés:

%WINDIR%\new_drv.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: RKIT/LdPinch.dvx

– c:\abcdefg.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ttool
   • %WINDIR%\9129837.exe



La clé de registre suivante est ajoutée:

– HKCU\Software\Microsoft\InetData
   • k1=dword:336602d5
   • k2=dword:4337c861
   • version="951"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://**********/cgi-bin/options.cgi?user_id=165549058&version_id=951&passphrase=fkjvhsdvlksdhvlsd&socks=3633&version=124&crc=00000000

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.

Description insérée par Lutz Koch le mardi 23 octobre 2007
Description mise à jour par Lutz Koch le mercredi 24 octobre 2007

Retour . . . .