Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/PSW.Magania.avwf
La date de la dcouverte:04/03/2009
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen lev
Fichier statique:Oui
Taille du fichier:108.412 Octets
Somme de contrle MD5:518db8564203cc90b7a461d71c42dd09
Version IVDF:7.01.02.119 - mercredi 4 mars 2009

 Gnral Mthodes de propagation:
   • Mapped network drives
    Programme de messagerie


Les alias:
   •  Symantec: Trojan.Dropper
   •  Sophos: W32/AutoRun-AAT
   •  Panda: W32/Lineage.KPH
   •  Grisoft: PSW.OnlineGames.2.S
   •  Eset: Win32/PSW.OnLineGames.NMY


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\ierdfgh.exe
   • \9.exe



Il supprime sa propre copie, excute initialement



Il supprime le fichier suivant:
   • %SYSDIR%\drivers\cdaudio.sys



Il peut corrompre le dossier suivant :
   • %SYSDIR%\drivers\cdaudio.sys



Les fichiers suivants sont crs:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%SYSDIR%\pytdfse%nombre%.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Autorun.845034

%SYSDIR%\drivers\klif.sys Dtect comme: TR/Klif.3520

\6fq.com
%TEMPDIR%\4tddfwq0.dll
%TEMPDIR%\xvassdf.exe



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://vfbgt.com/xrbv/**********


L'emplacement est le suivant:
   • http://sfdght.com/xrbv/**********
Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kxswsoft"="%SYSDIR%\ierdfgh.exe"



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
     "DisplayName"="AVPsys"



Les valeurs de la cl de registre suivante sont supprimes:



La cl de registre suivante, y compris toutes les valeurs et les sous-cls, est enleve.
   • [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]



Les cls de registre suivantes sont ajoute:

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Enum]
   • "Count"=dword:00000000
   • "NextInstance"=dword:00000000
   • "INITSTARTFAILED"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
   • 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
   • 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
   • 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
   • 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]
   La nouvelle valeur:
   • "enabled"=dword:00000000

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoDriveTypeAutoRun"=dword:00000091

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 Yahoo Messenger


Propagation pas fichier
Il envoie un fichier avec un des noms suivants:
   • YahooWidgetEngine.exe
   • YPagerj.exe

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\pytdfse%nombre%.dll


 Il injecte une routine de surveillance de processus dans un processus:

    Nom du processus:
   • explorer.exe

   Si le malware choue, il continuera de fonctionner comme processus.

 La technologie Rootkit C'est une technologie spcifique au malware. Le malware cache sa prsence aux utilitaires de systme, applications de scurit et la fin, l'utilisateur.


La mthode utilise:
     Cach de Windows API
     Cach de Interrupt Descriptor Table (IDT)

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le lundi 6 juillet 2009
Description mise à jour par Petre Galan le mercredi 19 août 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.