Nom:TR/Dldr.FraudLoa.GT
La date de la découverte:21/10/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:~ 100.000 Octets
Version IVDF:7.00.06.67

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: not-a-virus:FraudTool.Win32.SecureExpertCleaner.k
   •  Sophos: Troj/FakeVir-EO
   •  Grisoft: Fake_AntiSpyware.ABH


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres

 Fichiers Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://download.secureexpertcleaner.com/**********Cleaner_de.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\ProductPath\runbst.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: DR/Fraud.SecureExpC

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SecureExpertCleanerDownloader="%le fichier exécuté%"



La clé de registre suivante est ajoutée:

– [HKLM\Software\SecureExpertCleanerDownloader]
   • EulaShowed=hex:%valeurs hexa%
   • TotalSize=hex:%valeurs hexa%
   • SeekPos=hex:%valeurs hexa%

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Thomas Wegele le mardi 11 novembre 2008
Description mise à jour par Thomas Wegele le mardi 11 novembre 2008

Retour . . . .