Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Scar.apqx
La date de la découverte:20/11/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:43.008 Octets
Somme de contrôle MD5:5cdef39df4850fe9d241490fe4305df2
Version IVDF:7.10.01.43 - vendredi 20 novembre 2009

 Général Les alias:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \windows\ld15.exe



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %TEMPDIR%\zpskon_1270677929.exe
   • \3.reg
   • %le dossier d'exécution du malware%\df1a245s4_1592.exe
   • %le dossier d'exécution du malware%\SelfDel.bat
   • %le dossier d'exécution du malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • \h.tmp
   • %TEMPDIR%\captcha.bat
   • \1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



Les fichiers suivants sont créés:

\3.reg Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%le dossier d'exécution du malware%\df1a245s4_1592.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\010112010146115119.xxe
– %HOME%\Local Settings\Application Data\rdr_1270658517.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

\windows\bill106.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

%le dossier d'exécution du malware%\SelfDel.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
\windows\bk23567.dat
– %HOME%\Local Settings\Application Data\0101120101465198.xxe
\h.tmp
%WINDIR%\dxxdv34567.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%PROGRAM FILES%\webserver\webserver.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Backdoor.Gen

%le dossier d'exécution du malware%\sd.dat
%TEMPDIR%\captcha.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/ATRAPS.Gen

\1.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://banmismokingban.com/**********/?action=&v=%nombre%
   • http://uuviet.toila.net/**********/?action=&v=%nombre%
   • http://prospect-m.ru/**********/?action=&v=%nombre%
   • http://glyk.ch/**********/?action=&v=%nombre%
   • http://sindhpk.com/**********/?action=&v=%nombre%
   • http://www.smoketrend.de/**********/?action=&v=%nombre%
   • http://rabadanmakeupartist.com/**********/?action=&v=%nombre%
   • http://www.friesen-research.com/**********/?action=&v=%nombre%
   • http://azfatso.org/**********/?action=&v=%nombre%
   • http://lineaidea.it/**********/?action=&v=%nombre%
   • http://mysex.co.il/**********/?action=&v=%nombre%
   • http://daveshieldsmedia.com/**********/?action=&v=%nombre%
   • http://kingdom-shakers.com/**********/?action=&v=%nombre%
   • http://www.eurostandart.biz/**********/?action=&v=%nombre%
   • http://drpaulaprice.com/**********/?action=&v=%nombre%
   • http://eurorot.com/**********/?action=&v=%nombre%
   • http://rowanhenderson.com/**********/?action=&v=%nombre%
   • http://sigmai.co.il/**********/?action=&v=%nombre%
   • http://anlaegkp.dk/**********/?action=&v=%nombre%
   • http://inartdesigns.com/**********/?action=&v=%nombre%
   • http://inartdesigns.com/**********/?action=&ff=%nombre%&a=%nombre%&v=%nombre%&l=%nombre%&c_fb=%nombre%&c_ms=%nombre%&c_hi=%nombre%&c_tw=%nombre%&c_be=%nombre%&c_tg=%nombre%&c_nl=%nombre%&iedef=%nombre%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%nombre%&crc=%nombre%
   • http://www.idif.it/**********/?action=&a=%nombre%&v=%nombre%&c_fb=%nombre%&ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%nombre%&crc=%nombre%
   • http://amazingpets.org/**********/?action=&mode=&age=%nombre%&a=%nombre%&v=%nombre%&c_fb=%nombre%&ie=


– L'emplacement est le suivant:
   • http://insta-find.com/adm/**********


– L'emplacement est le suivant:
   • http://u07012010u.com/**********/?uptime=%nombre%&v=%nombre%&sub=%nombre%&ping=%nombre%&proxy=%nombre%&hits=%nombre%&noref=%nombre%&port=%nombre%




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %WINDIR%\ld15.exe


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1270669724.exe


– Nom de fichier: Noms des fichiers:
   • cmd /c c:\1.bat


– Nom de fichier: Noms des fichiers:
   • zpskon_12706697


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1270677929.exe


– Nom de fichier: Noms des fichiers:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\zpskon_1270677929.exe


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1270682172.exe


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


– Nom de fichier: Noms des fichiers:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


– Nom de fichier: Noms des fichiers:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


– Nom de fichier: Noms des fichiers:
   • rundll32 captcha,ServiceMain


– Nom de fichier: Noms des fichiers:
   • regedit /s c:\2.reg


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


– Nom de fichier: Noms des fichiers:
   • sc start "webserver"


– Nom de fichier: Noms des fichiers:
   • df1a245s4_1592.exe


– Nom de fichier: Noms des fichiers:
   • cmd /c SelfDel.bat


– Nom de fichier: Noms des fichiers:
   • %le dossier d'exécution du malware%\df1a245s4_1592.exe


– Nom de fichier: Noms des fichiers:
   • %WINDIR%\bill106.exe


– Nom de fichier: Noms des fichiers:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


– Nom de fichier: Noms des fichiers:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


– Nom de fichier: Noms des fichiers:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


– Nom de fichier: Noms des fichiers:
   • cmd /c "%temp%\captcha.bat"


– Nom de fichier: Noms des fichiers:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   La nouvelle valeur:
   • "Port"=dword:0x000003ea

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   La nouvelle valeur:
   • "captcha"="captcha"

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– L'accès au lien URL suivant est redirigé vers une autre destination :
   • 85.13.206.115 u07012010u.com


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le lundi 12 avril 2010
Description mise à jour par Petre Galan le lundi 12 avril 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.