Nom:TR/Autorun.142336
La date de la découverte:22/09/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:142.336 Octets
Somme de contrôle MD5:32503a19483ea4a61e44386e8979be1b
Version IVDF:7.01.06.20 - mardi 22 septembre 2009

 Général Les alias:
   •  Symantec: W32.SillyDC
   •  Mcafee: PWS-Banker trojan !!!
   •  Kaspersky: IM-Worm.Win32.Agent.nz
   •  Sophos: Mal/Generic-A
   •  Eset: Win32/AutoRun.Agent.PE worm
   •  Bitdefender: Trojan.LdPinch.NCX


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Il crée un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %recycle bin%\winse32.exe

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • "StubPath"="%recycle bin%\winse32.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********.dns2go.com
Port: 7000
Le mot de passe du serveur: 01470147
Pseudonyme: hmvzcv

 L'injection du code viral dans d'autres processus – Il injecte une routine porte dérobée dans un processus:

    Nom du processus:
   • %WINDIR%\explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le jeudi 15 octobre 2009

Retour . . . .