Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/WinO.A
La date de la découverte:09/03/2010
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:63.639 Octets
Somme de contrôle MD5:463f93ee63271f385e100aafb53f7790
Version IVDF:7.10.05.08 - mardi 9 mars 2010

 Général Les alias:
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %TEMPDIR%\fig24.tmp



Les fichiers suivants sont créés:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Gen

%TEMPDIR%\fig24.tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Gen

– "%le dossier d'exécution du malware%\%executed file.bat%"



Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • cmd /c start iexplore -embedding


– Nom de fichier: Noms des fichiers:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


– Nom de fichier: Noms des fichiers:
   • cmd /c "%TEMPDIR%\fig24.bat"


– Nom de fichier: Noms des fichiers:
   • cmd /c "%le dossier d'exécution du malware%\%executed file.bat%"

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   La nouvelle valeur:
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   La nouvelle valeur:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mardi 6 avril 2010
Description mise à jour par Petre Galan le mardi 6 avril 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.