Nom:TR/Disabler.i.50
La date de la découverte:13/03/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:29.377 Octets
Somme de contrôle MD5:89c3f6763a379f4cf7ba0766b4798c26
Version VDF:7.01.02.164
Version IVDF:7.01.02.171 - vendredi 13 mars 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-DIY
   •  Kaspersky: Trojan.Win32.Disabler.i
   •  F-Secure: Trojan.Win32.Disabler.i
   •  Eset: Win32/Disabler.I
   •  Bitdefender: Trojan.RegistryDisabler


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %home%\Start Menu\Programs\Startup\systemID.pif
   • %SYSDIR%\Flashy.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Flashy Bot="%SYSDIR%\Flashy.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions=dword:00000001



Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   La nouvelle valeur:
   • Start=dword:00000004

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "DisableTaskMgr" = 1
   • "DisableRegistryTools" = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • HideFileExt=dword:00000001
     Hidden=dword:00000002

 Porte dérobée Le port suivant est ouvert:

– net.exe sur le port TCP 23 afin d'offrir accès à la ligne de commande.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • ||Flashy||

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG 2.00

Description insérée par Ana Maria Niculescu le lundi 4 mai 2009
Description mise à jour par Ana Maria Niculescu le lundi 4 mai 2009

Retour . . . .