Nom:TR/VB.Agent.16898
La date de la découverte:03/11/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:16.896 Octets
Somme de contrôle MD5:badb59a3b053c146b50146436c422414
Version IVDF:7.01.06.185 - mardi 3 novembre 2009

 Général Méthode de propagation:
   • Autorun feature (fr)


Les alias:
   •  Sophos: Mal/Emogen-E
   •  Panda: Trj/Downloader.VTS
   •  Eset: Win32/TrojanDownloader.VB.ANF
   •  Bitdefender: Trojan.Downloader.VB.WBS


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\ODBCJET.exe
   • \Cn911.exe



Il supprime le fichier suivant:
   • %SYSDIR%\Del.bat



Les fichiers suivants sont créés:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%SYSDIR%\Del.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://eaglemg.com/album/13/js/1/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ODBCJET.exe,"

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 3 mars 2010
Description mise à jour par Petre Galan le mercredi 3 mars 2010

Retour . . . .