Nom:TR/Ransom.Agent.JU
La date de la découverte:01/02/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:192.512 Octets
Somme de contrôle MD5:0c13905ce4c33f29496cae8eb4e63a95
Version IVDF:7.10.03.141 - lundi 1 février 2010

 Général Les alias:
   •  Mcafee: W32/Akbot
   •  Sophos: Troj/QakBot-D
   •  Panda: Trj/Sinowal.WUJ
   •  Eset: Win32/Spy.Zbot.UN
   •  Bitdefender: Trojan.Zbot.HMK


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\sdra64.exe



Il supprime le fichier suivant:
   • %SYSDIR%\lowsec\user.ds



Les fichiers suivants sont créés:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"



Les clés de registre suivantes sont ajoutée:

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D



Les clés de registre suivantes sont changées:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   La nouvelle valeur:
   • "ParseAutoexec"="1"

Désactive le Pare-feu du Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   La nouvelle valeur:
   • "EnableFirewall"=dword:0x00000000

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   La nouvelle valeur:
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   La nouvelle valeur:
   • "ParseAutoexec"="1"

 Porte dérobée Le port suivant est ouvert:

– 239.255.2**********.2********** sur le port UDP 1900

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • winlogon.exe



– Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • svchost.exe



– It injects itself as a remote threat into processe (fr)

It is injected into all processes. (fr)


 Informations divers Connexion Internet:

Il interroge avec le nom:
   • dnsplugweb.com

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 9 avril 2010
Description mise à jour par Petre Galan le jeudi 15 avril 2010

Retour . . . .