Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Fakealert.C.17
La date de la découverte:15/10/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:171.024 Octets
Somme de contrôle MD5:d6084176f7ef6ff28c544e7a9f8adb94
Version IVDF:7.01.06.114 - jeudi 15 octobre 2009

 Général Les alias:
   •  Mcafee: W32/Autorun.worm
   •  Panda: W32/Autorun.JPK
   •  Eset: Win32/AutoRun.Agent.TK
   •  Bitdefender: Worm.Generic.95428


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %SYSDIR%\RCX3.tmp



Les fichiers suivants sont créés:

%SYSDIR%\abfdcfedc.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Agent.wif.9

%TEMPDIR%\3fafa40407f9b420eaff07c821171795.exe



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://wl.ddkrss.com/v308/**********?msg=Z6LsdX5H8Xy4qJ4RzAWD1XKcLXF5KD1TcGyz%2BNYlo5rl4JI8qF41GsB84SqyUSOukXM87NAFGaZXa#EAC%2BcYT01HmEUrNgHLK9qx9n5r7HxGnGYDS2pzvMb9p3cv47eX
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="%character string%"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lk"
   • "Logoff"="lk"
   • "Logon"="lk"
   • "Shutdown"="lk"
   • "StartScreenSaver"="lk"
   • "StartShell"="g"
   • "Startup"="lk"
   • "StopScreenSaver"="lk"
   • "Unlock"="lk"

 L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'exécution dans un processus.

    Nom du processus :
   • winlogon.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le vendredi 5 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.