Nom:DR/Zapchast.AI
La date de la découverte:04/08/2008
Type:Dropper
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:722.407 Octets
Somme de contrôle MD5:7824396444ea3c178cc677b6de9f49c8
Version IVDF:7.00.05.209 - lundi 4 août 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Trojan
   •  Mcafee: IRC/Flood.gen.dr
   •  Kaspersky: not-a-virus:Client-IRC.Win32.mIRC.601
   •  TrendMicro: Mal_Zap
   •  F-Secure: Backdoor.Win32.mIRC-based
   •  Sophos: Mal/Zapchas-C
   •  Panda: Bck/mIRCBased.BC
   •  Grisoft: IRC/BackDoor.Flood
   •  VirusBuster: Backdoor.MIRC-based.X
   •  Eset: IRC/Cloner.BI trojan
   •  Bitdefender: Trojan.Mirchack.A


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants

 Fichiers  Il crée les répertoires suivants:
   • %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\
   • %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\download



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\aliases.ini;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\control.ini;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\Desktop.ini;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\fullname.txt;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\identd.txt;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\instsrv.exe;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\mirc.ico;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\mirc.ini;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\popups.txt;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\remote.ini;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\servers.ini;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\svchost.exe;
      %corbeille%\S-1-5-21-606747145-1085031214-725345543-500\users.ini

%corbeille%\S-1-5-21-606747145-1085031214-725345543-500\a.reg Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: IRC/Cloner.BI

%corbeille%\S-1-5-21-606747145-1085031214-725345543-500\csrss.exe Détecté comme: BDS/mIRC-593262.A

%corbeille%\S-1-5-21-606747145-1085031214-725345543-500\script.ini Détecté comme: IRC/Zapchast.AI

%corbeille%\S-1-5-21-606747145-1085031214-725345543-500\sup.exe Ensuite, il est exécuté après avoir été completment crée. Détecté comme: DR/Runner.B

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Thomas Wegele le lundi 11 août 2008
Description mise à jour par Philipp Wolf le lundi 11 août 2008

Retour . . . .