Nom:TR/Fotomoto.F.1
La date de la découverte:07/11/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:71.232 Octets
Somme de contrôle MD5:d724dfe9790E373d1b92b3a35c1d0E49
Version IVDF:7.00.00.182 - mercredi 7 novembre 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Vundo.dr trojan
   •  Kaspersky: Trojan.Win32.Obfuscated.kp
   •  F-Secure: Trojan.Win32.Obfuscated.kp
   •  Panda: Spyware/Virtumonde
   •  Grisoft: Obfustat.VUL
   •  Eset: Win32/Adware.Ezula application


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%le dossier d'exécution du malware%\%le fichier exécuté% \service"
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"= %valeurs hexa%
   • "Description"="DomainService"



La valeur de la clé de registre suivante est supprimée:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • DDC



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'exécution du malware%\\%le fichier
      exécuté%"="%le dossier d'exécution du malware%\\%le
      fichier exécuté%:"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\DomainService]


La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "SFCDisable" = 0
   La nouvelle valeur:
   • "SFCDisable" = 4

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://24.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php



Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier
    • Visiter un site web

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPolyX v0.5

Description insérée par Thomas Wegele le vendredi 7 décembre 2007
Description mise à jour par Thomas Wegele le vendredi 7 décembre 2007

Retour . . . .