Nom:TR/Dldr.FraudLoad.51200
La date de la découverte:16/09/2009
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Moyen à élevé
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:51.200 Octets
Somme de contrôle MD5:2277c47fd42f0D448dab0C97493e6acc
Version VDF:7.01.05.247
Version IVDF:7.01.05.249 - mercredi 16 septembre 2009

 Général Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres




   Elevates itself with SeShutdownPrivilege in order to restart the system.

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\braviax.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Renos.56

%SYSDIR%\dllcache\figaro.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen




Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.FraudLoad.fnm

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"



La valeur de la clé de registre suivante est supprimée:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky



Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   La nouvelle valeur:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Mystic Compressor

Description insérée par Petre Galan le mercredi 16 septembre 2009
Description mise à jour par Petre Galan le mercredi 16 septembre 2009

Retour . . . .