Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Meredrop.A.6817
La date de la découverte:29/03/2010
Type:Cheval de Troie
Sous type:Dropper
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:229.888 Octets
Somme de contrôle MD5:b82fe8cf56b26e2ab356c0731ad1290b
Version IVDF:7.10.05.248 - lundi 29 mars 2010

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Panda: W32/Autorun.JYG
   •  Eset: Win32/AutoRun.Agent.VO
   •  Bitdefender: Win32.Worm.Palevo.AN


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \RECYCLER\S-11-7-07-1107-042981-1107\autorun.exe



Les fichiers suivants sont créés:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

– %HOME%\Application Data\driveraudio.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DriverAudio"=""%HOME%\Application Data\driveraudio.exe""



La clé de registre suivante est ajoutée:

– [HKCU\SOFTWARE\kk]
   • "NI"="OK"

 Porte dérobée Le port suivant est ouvert:

– dns.pho**********.net sur le port TCP 1024

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 7 juillet 2010
Description mise à jour par Petre Galan le mercredi 7 juillet 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.