Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Hacktool.Tcpz.A
La date de la dcouverte:22/04/2009
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen lev
Fichier statique:Oui
Taille du fichier:995.328 Octets
Somme de contrle MD5:3911f7a8d09c467dbf3a05f73f0b8c7d
Version IVDF:7.01.03.91 - mercredi 22 avril 2009

 Gnral Les alias:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\svhost.exe



Le fichier suivant est cr:

%SYSDIR%\drivers\sysdrv32.sys Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Hacktool.Tcpz.A

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Les cls de registre suivantes sont ajoute:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Infection du rseau La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS03-007 (Unchecked Buffer in Windows Component)
 MS04-045 (Vulnrabilit en WINS)
MS06-040 (Vulnrabilit dans Service de Serveur)

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: 7.j3h**********.net
Port: 57
Le mot de passe du serveur: h4xg4ng
Canal: #cunt
Pseudonyme: [00-USA-XP-%nombre%]

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le lundi 30 novembre 2009
Description mise à jour par Petre Galan le lundi 30 novembre 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.