Nom:TR/Vilsel.ior
La date de la découverte:20/10/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:44.544 Octets
Somme de contrôle MD5:e6bc86359946024ea7547ae8e9915e61
Version IVDF:7.01.06.127 - mardi 20 octobre 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Packed.Win32.Krap.ah
   •  F-Secure: Trojan-Downloader:W32/Fakerean.AG
   •  Eset: Win32/Kryptik.AVJ
   •  Bitdefender: Trojan.FakeAV.VC


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
Falsley reports malware infection or system proble (fr)


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://ertanue5skayert.com/**********M
Il est sauvegardé sur le disque dur local à l'emplacement: %home%\Application Data\lizkavd.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.FraudLo.osj

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mserv"="%home%\Application Data\seres.exe"
   • "svchost"="%home%\Application Data\svcst.exe"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   La nouvelle valeur:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   L'ancienne valeur:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   La nouvelle valeur:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


Sujet:
Le suivant:
   • Conflicker.B Infection Alert



Corps:
Le corps de l'email est le suivant:

   • Dear Microsoft Customer,
     
     Starting 18/10/2009 the 'Conficker' worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
     
     To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
     
     Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
     
     Regards,
     Microsoft Windows Agent
     2 (Hollis)
     Microsoft Windows Computer Safety Division


Pièce jointe:
Le nom de fichier de l'attachement est:
   • install.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mardi 20 octobre 2009
Description mise à jour par Philipp Wolf le mardi 20 octobre 2009

Retour . . . .