Nom:TR/PSW.Papras.JN
La date de la découverte:27/03/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:66.048 Octets
Somme de contrôle MD5:8c00c01185fd4cb20d8a91b307e7e39f
Version IVDF:7.01.02.228 - vendredi 27 mars 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Infostealer.Snifula.C
   •  Kaspersky: Trojan-PSW.Win32.Papras.jn
   •  F-Secure: Trojan-PSW.Win32.Papras.jn
   •  Sophos: Troj/Zbot-BS
   •  Eset: Win32/PSW.Papras trojan
   •  Bitdefender: Trojan.Inject.UD


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\9129837.exe




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %WINDIR%\new_drv.sys
Employé pour cacher le processus de Gestionnaire des tâches Détecté comme: TR/Rootkit.Gen


– Nom de fichier: Noms des fichiers:
   • %le dossier d'exécution du malware%\abcdefg.bat
Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\\9129837.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=dword:%valeurs hexa%
   • "k2"=dword:%valeurs hexa%
   • "version"="5"

 Porte dérobée Le port suivant est ouvert:
sur un port TCP aléatoire afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=%nombre%&version_id=5&passphrase=%chaîne de caractères aléatoire%&socks=%port ouvert%&version=&crc=00000000

En conséquence la possibilité de contrôle à distance est fournie.

Il envoie de l'information au sujet de:
    • Hardware
    • Port ouvert

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.

Description insérée par Andreas Feuerstein le mercredi 8 avril 2009
Description mise à jour par Andreas Feuerstein le mercredi 8 avril 2009

Retour . . . .