Nom:TR/Drop.Decay.atv
La date de la découverte:23/10/2009
Type:Cheval de Troie
Sous type:Dropper
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:70.656 Octets
Somme de contrôle MD5:3bd03a49f0a4ffd9220e1e1b2890663a
Version IVDF:7.01.06.142 - vendredi 23 octobre 2009

 Général Méthode de propagation:
• Autorun feature (fr)


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\conmsyrtl.exe
   • \driver\usb\usb3.EXE



Les fichiers suivants sont créés:

\driver\usb\Desktop.ini
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



La clé de registre suivante est changée:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   La nouvelle valeur:
   • "%le dossier d'exécution du malware%\%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%:*:Enabled:Sistema de Comm"

 P2P    Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   En cas de succès, les fichiers suivants sont créés:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Ces fichiers sont copies du Malware.

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– MSN Messenger

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: ns3.metr**********.com
Port: 6567
Le mot de passe du serveur: pr1v4d0onl1n3r
Canal: #delawich#
Pseudonyme: [SH|USA|00|P|%nombre%]
Mot de passe: c1rc0s0leil


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Télécharger un fichier
    • Se mettre à jour tout seul
    • Visiter un site web

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 3 février 2010
Description mise à jour par Petre Galan le vendredi 5 février 2010

Retour . . . .