Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Dldr.Agent.bky
La date de la dcouverte:31/03/2007
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.312 Octets
Somme de contrle MD5:e9100Ce97a5b4fbd8857b25ffe2d7179
Version VDF:6.38.00.149
Version IVDF:6.38.00.152 - samedi 31 mars 2007

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
    Access sur disquette    • Il tlcharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Des sections sont ajoutes aux fichiers suivants.
– A: %tous les dossiers%\*.HTML Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.ASPX Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.PHP Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.JSP Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script

– A: %tous les dossiers%\*.ASP Avec le contenu suivant:
   • script src=http://macr.microfsot.com/********** /script




Le fichier suivant est cr:

A:\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://a.2007ip.com/**********
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Tous les processus suivants:
   • notepad.exe
   • IEXPLORE.EXE


 Informations divers Mutex:
Il cre les Mutex suivants:
   • MySignal
   • MyInfect
   • MyDownload


Chane de caractres:
Ensuite il contient la chane de caractres suivante:
   • I will by one BMW this year!

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Ana Maria Niculescu le jeudi 8 novembre 2007
Description mise à jour par Andrei Gherman le vendredi 9 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.