Nom:TR/Fakealert.HC
La date de la découverte:16/10/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:44.032 Octets
Somme de contrôle MD5:9d40e58d4b91df1fdf7afd3b05dba6d6
Version IVDF:7.00.07.47 - jeudi 16 octobre 2008

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Les fichiers suivants sont créés:

%SYSDIR%\brastk.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.FraudLo.bai

%SYSDIR%\dllcache\figaro.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

%WINDIR%\delself.bat Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%valeurs hexa%

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


Sujet:
Le suivant:
   • New anjelina jolie sex scandal



Corps:
Le corps de l'email est le suivant:
   • anjelina jolie porn video, file attached, watch it


Pièce jointe:
Le nom de fichier de l'attachement est:
   • angelina_video.zip

La pièce jointe est une archive contenant une copie du virus

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mercredi 22 octobre 2008
Description mise à jour par Thomas Wegele le mercredi 22 octobre 2008

Retour . . . .