Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Dldr.Agent.bky
La date de la découverte:31/03/2007
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.312 Octets
Somme de contrôle MD5:e9100Ce97a5b4fbd8857b25ffe2d7179
Version VDF:6.38.00.149
Version IVDF:6.38.00.152 - samedi 31 mars 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Access sur disquette    • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Des sections sont ajoutées aux fichiers suivants.
– A: %tous les dossiers%\*.HTML Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.ASPX Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.PHP Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.JSP Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.ASP Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script




Le fichier suivant est créé:

– A:\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://a.2007ip.com/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Tous les processus suivants:
   • notepad.exe
   • IEXPLORE.EXE


 Informations divers Mutex:
Il crée les Mutex suivants:
   • MySignal
   • MyInfect
   • MyDownload


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • I will by one BMW this year!

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Ana Maria Niculescu le jeudi 8 novembre 2007
Description mise à jour par Andrei Gherman le vendredi 9 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.