Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Scar.apqx
La date de la dcouverte:20/11/2009
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:43.008 Octets
Somme de contrle MD5:5cdef39df4850fe9d241490fe4305df2
Version IVDF:7.10.01.43 - vendredi 20 novembre 2009

 Gnral Les alias:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers malveillants
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \windows\ld15.exe



Il supprime sa propre copie, excute initialement



Il supprime les fichiers suivants:
   • %TEMPDIR%\zpskon_1270677929.exe
   • \3.reg
   • %le dossier d'excution du malware%\df1a245s4_1592.exe
   • %le dossier d'excution du malware%\SelfDel.bat
   • %le dossier d'excution du malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • \h.tmp
   • %TEMPDIR%\captcha.bat
   • \1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



Les fichiers suivants sont crs:

\3.reg Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%le dossier d'excution du malware%\df1a245s4_1592.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Dropper.Gen

%HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: BDS/Backdoor.Gen

%HOME%\Local Settings\Application Data\010112010146115119.xxe
%HOME%\Local Settings\Application Data\rdr_1270658517.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Dropper.Gen

\windows\bill106.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Dropper.Gen

%le dossier d'excution du malware%\SelfDel.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
\windows\bk23567.dat
%HOME%\Local Settings\Application Data\0101120101465198.xxe
\h.tmp
%WINDIR%\dxxdv34567.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.
%PROGRAM FILES%\webserver\webserver.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: BDS/Backdoor.Gen

%le dossier d'excution du malware%\sd.dat
%TEMPDIR%\captcha.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/ATRAPS.Gen

\1.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.



Il essaie de tlcharger des fichiers:

Les emplacements sont les suivants:
   • http://banmismokingban.com/**********/?action=&v=%nombre%
   • http://uuviet.toila.net/**********/?action=&v=%nombre%
   • http://prospect-m.ru/**********/?action=&v=%nombre%
   • http://glyk.ch/**********/?action=&v=%nombre%
   • http://sindhpk.com/**********/?action=&v=%nombre%
   • http://www.smoketrend.de/**********/?action=&v=%nombre%
   • http://rabadanmakeupartist.com/**********/?action=&v=%nombre%
   • http://www.friesen-research.com/**********/?action=&v=%nombre%
   • http://azfatso.org/**********/?action=&v=%nombre%
   • http://lineaidea.it/**********/?action=&v=%nombre%
   • http://mysex.co.il/**********/?action=&v=%nombre%
   • http://daveshieldsmedia.com/**********/?action=&v=%nombre%
   • http://kingdom-shakers.com/**********/?action=&v=%nombre%
   • http://www.eurostandart.biz/**********/?action=&v=%nombre%
   • http://drpaulaprice.com/**********/?action=&v=%nombre%
   • http://eurorot.com/**********/?action=&v=%nombre%
   • http://rowanhenderson.com/**********/?action=&v=%nombre%
   • http://sigmai.co.il/**********/?action=&v=%nombre%
   • http://anlaegkp.dk/**********/?action=&v=%nombre%
   • http://inartdesigns.com/**********/?action=&v=%nombre%
   • http://inartdesigns.com/**********/?action=&ff=%nombre%&a=%nombre%&v=%nombre%&l=%nombre%&c_fb=%nombre%&c_ms=%nombre%&c_hi=%nombre%&c_tw=%nombre%&c_be=%nombre%&c_tg=%nombre%&c_nl=%nombre%&iedef=%nombre%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%nombre%&crc=%nombre%
   • http://www.idif.it/**********/?action=&a=%nombre%&v=%nombre%&c_fb=%nombre%&ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%nombre%&crc=%nombre%
   • http://amazingpets.org/**********/?action=&mode=&age=%nombre%&a=%nombre%&v=%nombre%&c_fb=%nombre%&ie=


L'emplacement est le suivant:
   • http://insta-find.com/adm/**********


L'emplacement est le suivant:
   • http://u07012010u.com/**********/?uptime=%nombre%&v=%nombre%&sub=%nombre%&ping=%nombre%&proxy=%nombre%&hits=%nombre%&noref=%nombre%&port=%nombre%




Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • %WINDIR%\ld15.exe


Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1270669724.exe


Nom de fichier: Noms des fichiers:
   • cmd /c c:\1.bat


Nom de fichier: Noms des fichiers:
   • zpskon_12706697


Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1270677929.exe


Nom de fichier: Noms des fichiers:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\zpskon_1270677929.exe


Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1270682172.exe


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


Nom de fichier: Noms des fichiers:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


Nom de fichier: Noms des fichiers:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Nom de fichier: Noms des fichiers:
   • cmd /c %WINDIR%\dxxdv34567.bat


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


Nom de fichier: Noms des fichiers:
   • rundll32 captcha,ServiceMain


Nom de fichier: Noms des fichiers:
   • regedit /s c:\2.reg


Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Nom de fichier: Noms des fichiers:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


Nom de fichier: Noms des fichiers:
   • sc start "webserver"


Nom de fichier: Noms des fichiers:
   • df1a245s4_1592.exe


Nom de fichier: Noms des fichiers:
   • cmd /c SelfDel.bat


Nom de fichier: Noms des fichiers:
   • %le dossier d'excution du malware%\df1a245s4_1592.exe


Nom de fichier: Noms des fichiers:
   • %WINDIR%\bill106.exe


Nom de fichier: Noms des fichiers:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


Nom de fichier: Noms des fichiers:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


Nom de fichier: Noms des fichiers:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


Nom de fichier: Noms des fichiers:
   • cmd /c "%temp%\captcha.bat"


Nom de fichier: Noms des fichiers:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   La nouvelle valeur:
   • "Port"=dword:0x000003ea

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   La nouvelle valeur:
   • "captcha"="captcha"

 Htes Le fichier hte est modifi, comme il est expliqu:

L'accs au lien URL suivant est redirig vers une autre destination :
   • 85.13.206.115 u07012010u.com


 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le lundi 12 avril 2010
Description mise à jour par Petre Galan le lundi 12 avril 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.