Nom:TR/Xorer.174009
La date de la découverte:17/03/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:94.208 Octets
Somme de contrôle MD5:bfe68898bb94d7068582c642bfe0bc5c
Version VDF:7.00.03.40

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Symantec: W32.Pagipef.I!inf
   •  Mcafee: W32/Xorer
   •  Kaspersky: Virus.Win32.Xorer.ew
   •  TrendMicro: PE_PAGIPEF.CA-O
   •  F-Secure: Virus.Win32.Xorer.ew
   •  Sophos: Mal/Xorer-A
   •  Panda: W32/Pagepif.G.worm
   •  VirusBuster: Win32.Xorer.O
   •  Eset: Win32/Xorer
   •  Bitdefender: Trojan.Xorer.T


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\com\lsass.exe
   • %SYSDIR%\%random character string from 0 to 9%.log
   • %lecteur%\pagefile.pif



Les fichiers suivants sont créés:

%lecteur%\AUTORUN.INF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\com\smss.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Xorer.DR.40960

%SYSDIR%\com\netcfg.000 Détecté comme: TR/Xorer.A.1

%SYSDIR%\com\netcfg.dll Détecté comme: TR/Xorer.A.1

%lecteur%\NetApi000.sys Détecté comme: RKIT/Xorer.A.10

%SYSDIR%\dnsq.dll Détecté comme: TR/Spy.Gen




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://w.c0m**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre  Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   La nouvelle valeur:
   • Type="radio"

Le format de l'heure"
Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • ShowSuperHidden = dword:00000000

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • antivir; thunderrt6main; mcafee; facelesswndproc; bitdefender; ewido;
      monitor; mcagent; escan; firewall; dr.web; metapad; ieframe; diskgen;
      dummycom; xorer


 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\dnsq.dll

    Nom du processus :
   • %tous les processus en exécution"


 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.baidu.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Alexandru Dinu le jeudi 31 juillet 2008
Description mise à jour par Andrei Ivanes le mardi 16 septembre 2008

Retour . . . .