Nom:TR/Chinky.X
La date de la découverte:12/02/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:69.632 Octets
Somme de contrôle MD5:769e8b8e8cf2c396ef2ad88452f5a2f1
Version IVDF:7.10.04.44 - vendredi 12 février 2010

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-AZH
   •  Panda: Trj/Downloader.XOF
   •  Eset: Win32/AutoRun.VB.LJ
   •  Bitdefender: Trojan.VB.Chinky.AD


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Les fichiers suivants sont créés:

\Passwords .lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\New Folder .lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Pictures .lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Video .lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Documents .lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Music .lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\luirih.scr Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Chinky.X

– %HOME%\luirih.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Chinky.X

\luirih.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Chinky.X




Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • "%HOME%\luirih.exe"

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "luirih"="%HOME%\luirih.exe"



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Shell Folders]
   La nouvelle valeur:
   • "Common Desktop"="%ALLUSERSPROFILE%\Desktop"
   • "Common Documents"="%ALLUSERSPROFILE%\Documents"
   • "Common Start Menu"="%ALLUSERSPROFILE%\Start Menu"
   • "CommonMusic"="%ALLUSERSPROFILE%\Documents\My Music"
   • "CommonPictures"="%ALLUSERSPROFILE%\Documents\My Pictures"
   • "CommonVideo"="%ALLUSERSPROFILE%\Documents\My Videos"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:0x00000000

 Porte dérobée Le port suivant est ouvert:

– ns2.the**********.net sur le port TCP 8002

 L'injection du code viral dans d'autres processus – Il injecte une routine porte dérobée dans un processus:

Il est injecté à tous les processus.


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Chiffrement :
Crypté – Le code du virus à l'intérieur du fichier contaminé est crypté.

Polymorphique – L'ensemble du code du virus change d'une contamination à une autre. Le virus contient un moteur polymorphique.

Description insérée par Petre Galan le mercredi 12 mai 2010
Description mise à jour par Petre Galan le mercredi 12 mai 2010

Retour . . . .