Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Hacktool.Tcpz.A
La date de la découverte:22/04/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:995.328 Octets
Somme de contrôle MD5:3911f7a8d09c467dbf3a05f73f0b8c7d
Version IVDF:7.01.03.91 - mercredi 22 avril 2009

 Général Les alias:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\svhost.exe



Le fichier suivant est créé:

%SYSDIR%\drivers\sysdrv32.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Hacktool.Tcpz.A

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Infection du réseau La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-007 (Unchecked Buffer in Windows Component)
– MS04-045 (Vulnérabilité en WINS)
MS06-040 (Vulnérabilité dans Service de Serveur)

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: 7.j3h**********.net
Port: 57
Le mot de passe du serveur: h4xg4ng
Canal: #cunt
Pseudonyme: [00-USA-XP-%nombre%]

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le lundi 30 novembre 2009
Description mise à jour par Petre Galan le lundi 30 novembre 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.