Nom:TR/Dldr.FraudLo.sxm
La date de la découverte:13/07/2009
Type:Risque pour la sécurité du caractère privé
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Non
Version VDF:7.01.04.223

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
   •  F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
   •  Eset: Win32/Kryptik.AAL


La plateforme / le système d'exploitation:
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:




 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %program files%\HomeAntivirus2010\Uninstall.exe



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
   • %program files%\HomeAntivirus2010\data\daily.cvd
   • %program files%\HomeAntivirus2010\pthreadVC2.dll
   • %program files%\HomeAntivirus2010\htmlayout.dll
   • \%mots aléatoires%

– Des fichiers qui peuvent être supprimés après:
   • %tempdir%\prm%nombre%
   • %tempdir%\wr%nombre%
   • %tempdir%\clamav-%32 random hexa numbers%\daily.db
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
   • %tempdir%\clamav-%32 random hexa numbers%\daily.fp
   • %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.info

– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Ensuite, il est exécuté après avoir été completment crée. Détecté comme: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\AVEngn.dll Détecté comme: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\wscui.cpl Détecté comme: TR/Dldr.FraudLo.sxm

– %systemdir%\_scui.cpl Détecté comme: TR/Dldr.FraudLo.sxm




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesSC.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Home Antivirus 2010"="\"%PROGRAM FILES%\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Control Panel\don't load]
   • "scui.cpl"="No"
   • "wscui.cpl"="No"

– [HKLM\SOFTWARE\HomeAntivirus2010]
   • "info"="%la date courante%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   HomeAntivirus2010]
   • "DisplayName"="Home Antivirus 2010"
   • "UninstallString"="%PROGRAM FILES%\HomeAntivirus2010\Uninstall.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "FirewallDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "FirewallDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001

Description insérée par Mihai Dilimot le lundi 10 août 2009
Description mise à jour par Mihai Dilimot le mardi 11 août 2009

Retour . . . .