Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Agent.fxp
La date de la dcouverte:25/04/2008
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:23.040 Octets
Somme de contrle MD5:9481e26583db9d77b301b1232d786e84
Version IVDF:7.00.03.213 - vendredi 25 avril 2008

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Agent.fxp
   •  F-Secure: Trojan.Win32.Agent.fxp
   •  Sophos: W32/IRCBot-ACE
   •  Eset: Win32/IRCBot.AAH
   •  Bitdefender: Win32.Worm.Slenfbot.B


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accs aux sites web de scurit
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\texds.exe



Il supprime sa propre copie, excute initialement

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Terminal Execution Exchange Deamon Service = texds.exe

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: secure.freebsd.la
Port: 9798
Le mot de passe du serveur: su1c1d3
Canal: #ghetto#
Pseudonyme: \00\USA\%chane de caractres alatoire%
Mot de passe: 3atsh1t

 Htes Le fichier hte est modifi, comme il est expliqu:

Dans ce cas les entres existantes sont crases

L'accs aux liens URL suivants est effectivement bloqu :
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com




Le fichier hte modifi ressemblera ceci:


 La technologie Rootkit C'est une technologie spcifique au malware. Le malware cache sa prsence aux utilitaires de systme, applications de scurit et la fin, l'utilisateur.


Il cache les suivants:
– Son propre processus

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Andrei Gherman le vendredi 25 juillet 2008
Description mise à jour par Andrei Gherman le vendredi 25 juillet 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.