Nom:TR/Agent.31232
La date de la découverte:08/01/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:31.232 Octets
Somme de contrôle MD5:ab0dc0fa9f939f8894a4bde2d4009029
Version IVDF:7.00.01.204 - mardi 8 janvier 2008

 Général Les alias:
   •  Panda: W32/Agent.MPQ
   •  Eset: Win32/TrojanDownloader.FakeAlert.VY
   •  Bitdefender: Trojan.Generic.1318096


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\frmwrk32.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\uniq.tll



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://lsp-test-nax.ind.in/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://lsp-test-nax.ind.in/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://pmsoftware.biz/cgi-bin/**********?code=0000015
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://lsp-test-nax.ind.in/**********?code=0000015
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– Les emplacements sont les suivants:
   • http://searchinv**********/?dn=lsp-test-nax.ind.in&flrdr=yes&nxte=gif
   • http://searchrein**********/?dn=lsp-test-nax.ind.in&flrdr=yes&nxte=gif
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Framework Windows"="frmwrk32.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   • "NoActiveDesktopChanges"=dword:0x00000001
   • "NoSetActiveDesktop"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:0x00000001



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   La nouvelle valeur:
   • "GeneralFlags"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoActiveDesktopChanges"=dword:0x00000001
   • "NoSetActiveDesktop"=dword:0x00000001

 L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'exécution dans un processus.

    Nom du processus :
   • explorer.exe


 Informations divers Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • Warning! Security report
   • Your computer is infected! It is recommended to start spyware cleaner tool.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le jeudi 25 février 2010
Description mise à jour par Petre Galan le vendredi 26 février 2010

Retour . . . .