Nom:TR/Keylogger.avk
La date de la découverte:29/11/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:112.008 Octets
Somme de contrôle MD5:a3e928635256073ca0e5b90388ee6efc
Version VDF:7.00.01.23
Version IVDF:7.00.01.24 - jeudi 29 novembre 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Generic Keylogger.g trojan
   •  Kaspersky: Trojan.Win32.VB.avk
   •  F-Secure: Trojan.Win32.VB.avk
   •  Panda: Trj/Keylogger.BN


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %PROGRAM FILES%\Common Files\winlogon.exe
   • %PROGRAM FILES%\Common Files\smss.exe
   • %PROGRAM FILES%\Common Files\fzx9823.exe
   • %PROGRAM FILES%\Common Files\12x34.edh



Le fichier suivant est créé:

– C:\s5d46a.fjg Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Log Agent="%PROGRAM FILES%\Common Files\winlogon.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   La nouvelle valeur:
   • CheckedValue=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • CheckedValue=dword:00000002

– [HKCR\exefile]
   La nouvelle valeur:
   • (Default)="Carpeta de Archivos" (Hidden)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • ShowSuperHidden=dword:00000000
     HideFileExt=dword:00000001
     SuperHidden=dword:00000001
     Hidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   La nouvelle valeur:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   La nouvelle valeur:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

 Porte dérobée Serveur de contact:
Le suivant:
   • http://www.e223pg.awardspace.co.uk/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • Espace libre sur le disque dur
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PePetite 2.2

Description insérée par Monica Ghitun le jeudi 29 novembre 2007
Description mise à jour par Monica Ghitun le vendredi 30 novembre 2007

Retour . . . .