Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Drop.OnGa.AZ
La date de la dcouverte:02/03/2009
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen lev
Fichier statique:Oui
Taille du fichier:107.295 Octets
Somme de contrle MD5:ff6b14d521a4c613754b47d754672d63
Version IVDF:7.01.02.103 - lundi 2 mars 2009

 Gnral Mthodes de propagation:
   • Mapped network drives


Les alias:
   •  Symantec: W32.Gammima.AG
   •  Sophos: W32/Autorun-AAP
   •  Panda: W32/Lineage.KPH
   •  Grisoft: PSW.OnlineGames.2.S
   •  Eset: Win32/PSW.OnLineGames.NMY


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\ierdfgh.exe
   • \y6.exe



Il supprime sa propre copie, excute initialement



Il supprime le fichier suivant:
   • %SYSDIR%\drivers\cdaudio.sys



Il peut corrompre le dossier suivant :
   • %SYSDIR%\drivers\cdaudio.sys



Les fichiers suivants sont crs:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%SYSDIR%\pytdfse%nombre%.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%SYSDIR%\drivers\klif.sys
%TEMPDIR%\4tddfwq0.dll
%TEMPDIR%\xvassdf.exe



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://vfbgt.com/xrbv/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://sfdght.com/xrbv/**********

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kxswsoft"="%SYSDIR%\ierdfgh.exe"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]
   La nouvelle valeur:
   • "enabled"=dword:00000000

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoDriveTypeAutoRun"=dword:00000091

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\pytdfse%nombre%.dll


 Il injecte une routine de surveillance de processus dans un processus:

    Nom du processus:
   • explorer.exe

   Si le malware choue, il continuera de fonctionner comme processus.

 La technologie Rootkit C'est une technologie spcifique au malware. Le malware cache sa prsence aux utilitaires de systme, applications de scurit et la fin, l'utilisateur.


La mthode utilise:
     Cach de Windows API
     Cach de Interrupt Descriptor Table (IDT)

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le lundi 6 juillet 2009
Description mise à jour par Petre Galan le mardi 18 août 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.