Nom:TR/Vilsel.iop
La date de la découverte:15/10/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:21.504 Octets
Somme de contrôle MD5:7d96ce7f588613f0343049918de70665
Version IVDF:7.01.06.111 - jeudi 15 octobre 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Détection similaires:
   •  TR/Vilsel.ioq


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
Falsley reports malware infection or system proble (fr)


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://tsarbunerkadosa.com/x**********
Il est sauvegardé sur le disque dur local à l'emplacement: %home%\Application Data\lizkavd.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.XPACK.Gen

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   La nouvelle valeur:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   L'ancienne valeur:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   La nouvelle valeur:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


Sujet:
Le suivant:
   • A new settings file %l'adresse email du destinataire% has just
      been released



Corps:
Le corps de l'email est le suivant:

   • Dear user of the %le domaine du destinataire% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %l'adresse email du destinataire% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %le domaine du destinataire% Technical Support.


Pièce jointe:
Le nom de fichier de l'attachement est:
   • install.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le jeudi 15 octobre 2009
Description mise à jour par Thomas Wegele le jeudi 15 octobre 2009

Retour . . . .