Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Slugin.A
La date de la découverte:28/09/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:864.739 Octets
Somme de contrôle MD5:79c28ac645beb57c4aa9a5f9bf738581
Version IVDF:7.01.06.44 - lundi 28 septembre 2009

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique
   • Le réseau local
   • Programme de messagerie
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Wplugin
   •  Sophos: W32/Slugin-A
   •  Panda: W32/Wplugin.A
   •  Eset: Win32/Slugin.A
   •  Bitdefender: Win32.Worm.IM.H


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • \RECYCLER\%CLSID%\usbhelp.exe
   • %SYSDIR%\winhost32.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\RECYCLER\%CLSID%\Desktop.ini
– %HOME%\Application Data\Wplugin.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: W32/Slugin.drop

%PROGRAM FILES%\Yahoo!\Messenger\ymsgr_tray.exe.local
%WINDIR%\ws2help.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: W32/Slugin.A

%PROGRAM FILES%\Yahoo!\Messenger\ws2help.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: W32/Slugin.A

%WINDIR%\explorer.exe.local
%WINDIR%\Wplugin.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: W32/Slugin.drop




Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\winhost32.exe %nombre% "%le dossier d'exécution du malware%\%le fichier exécuté%"

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Host Service"="winhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Host Service"="winhost32.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • "Microsoft Host Service"="winhost32.exe"

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • \Program Files\LimeWire\Shared
   • \Program Files\eDonkey2000\incoming
   • \Program Files\KAZAA
   • \Program Files\Morpheus\My Shared Folder\
   • \Program Files\BearShare\Shared\
   • \Program Files\ICQ\Shared Files\
   • \Program Files\Grokster\My Grokster\
   • \My Downloads\


 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– MSN Messenger


A:
Tous les entrés de la liste de contacts:
Le message envoyé ressemble à un des suivants:

   • OMG remember the party a few weeks back? Look at the pictures from it! haha
     These pictures are halirous man..
     Hey check out these new pictures I took

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: havfun.no-**********.biz
Pseudonyme: [WinXP||USA|000|%nombre%

Serveur: elvis.doe**********.com
Port: 82
Canal: #main
Pseudonyme: [WinXP||USA|000|%nombre%

 Porte dérobée Le port suivant est ouvert:

– winhost32.exe sur un port TCP aléatoire afin de fournir un serveur FTP

 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

– Les clés de CD suivantes:
   • Software\Activision\Call of Duty 4\codkey; Software\Activision\Soldier
      of Fortune II - Double Helix; Software\Illusion Softworks\Hidden &
      Dangerous 2; Software\Techland\Chrome; Software\Westwood\NOX;
      Software\Westwood\Red Alert 2; Software\Westwood\Red Alert;
      Software\Westwood\Tiberian Sun; Software\Red Storm
      Entertainment\RAVENSHIELD; Software\Electronic Arts\EA Sports\Nascar
      Racing 2003\ergc; Software\Electronic Arts\EA Sports\Nascar Racing
      2002\ergc; Software\Electronic Arts\EA Sports\NHL 2003\ergc;
      Software\Electronic Arts\EA Sports\NHL 2002\ergc; Software\Electronic
      Arts\EA Sports\FIFA 2003\ergc; Software\Electronic Arts\EA Sports\FIFA
      2002\ergc; Software\Electronic Arts\EA GAMES\Shogun Total War -
      Warlord Edition\ergc; Software\Electronic Arts\EA GAMES\Need For Speed
      Underground\ergc; Software\Electronic Arts\EA GAMES\Need For Speed Hot
      Pursuit 2; Software\Electronic Arts\EA GAMES\Medal of Honor Allied
      Assault Spearhead\ergc; Software\Electronic Arts\EA GAMES\Medal of
      Honor Allied Assault Breakthrough\ergc; Software\Electronic Arts\EA
      GAMES\Medal of Honor Allied Assault\ergc; Software\Electronic Arts\EA
      GAMES\Global Operations\ergc; Software\Electronic Arts\EA
      GAMES\Generals\ergc; Software\Electronic Arts\EA GAMES\James Bond 007
      Nightfire\ergc; Software\Electronic Arts\EA GAMES\Command and Conquer
      Generals Zero Hour\ergc; Software\Electronic Arts\EA GAMES\Black and
      White\ergc; Software\Electronic Arts\EA GAMES\Battlefield
      Vietnam\ergc; Software\Electronic Arts\EA GAMES\Battlefield 1942
      Secret Weapons of WWII\ergc; Software\Electronic Arts\EA
      GAMES\Battlefield 1942 The Road to Rome\ergc; Software\Electronic
      Arts\EA GAMES\Battlefield 1942\ergc; Software\Electronic Arts\EA
      Games\Battlefield 2\ergc; Software\Electronic Arts\EA
      Distribution\Freedom Force\ergc; Software\Unreal Technology\Installed
      Apps\UT2004; Software\Unreal Technology\Installed Apps\UT2003;
      Software\Silver Style Entertainment\Soldiers Of Anarchy\Settings;
      Software\JoWooD\InstalledGames\IG2; Software\Valve\Half-Life\Settings;
      Software\Valve\Gunman\Settings; Software\Eugen Systems\The Gladiators;
      Software\Valve\CounterStrike\Settings;
      Software\BioWare\NWN\Neverwinter

– Le mot de passe du programme suivant:
   • Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login

 Informations divers Ensuite il contient les chaînes de caractères suivantes:
   • [cBot.cdkeys] %s CD Key: (%s).
   • [cBot.p2p] File Copied to Peer to Peer sharing.
   • [cBot.sock5] Server started on: %s:%d [USER]: %s [PASS]: %s
   • [cBot.main] Rebooting system.
   • [cBot.passwords] FireFox Started.
   • [cBot.cdkeys] Search completed.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Armadillo

Description insérée par Petre Galan le mardi 25 mai 2010
Description mise à jour par Petre Galan le mardi 25 mai 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.