Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Poison.bhtb
Type:Serveur porte drobe
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:141.974 Octets
Somme de contrle MD5:0533106debc8926d7d927b93255ae66f

 Gnral Mthodes de propagation:
    Fonctionnalit d'excution automatique
    Programme de messagerie
   • Peer to Peer


Les alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/P2Pworm.HK
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Backdoor.Generic.288840


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • \wdisvcwks.exe
   • %WINDIR%\wdisvcwks.exe



Le fichier suivant est cr:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •




Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • netsh firewall add allowedprogram wdisvcwks.exe 1 ENABLE


Nom de fichier: Noms des fichiers:
   • "%WINDIR%\wdisvcwks.exe"

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Wks "="wdisvcwks.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wks "="wdisvcwks.exe"



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier excut%"="%le fichier
      excut%
:*:Enabled:Wks "

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:   Il cherche les rpertoires qui contient une des sous chane de caractres suivantes:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   En cas de succs, les fichiers suivants sont crs:
   • Windows7 keymaker.exe
   • Windows Vista maker.exe
   • Windows Xp SP3 Keygen.exe
   • Msn Messenger.exe
   • Live Messenger.exe
   • Itunes.exe
   • Realplayer.exe
   • Sony Vegas.exe
   • Hack Hotmail.exe


 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 AIM Messenger
 MSN Messenger

Le URL se rapporte alors une copie du malware dcrit. Si l'utilisateur tlcharge et excute ce fichier le procd d'infection commencera encore.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: mx.rvs**********.com
Port: 7665
Canal: #Prison-Break2#
Pseudonyme: [CUP|USA|00|P|%nombre%]

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le mercredi 9 juin 2010
Description mise à jour par Petre Galan le mercredi 9 juin 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.