Nom:TR/FakeAV.LBG.1
La date de la découverte:08/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:1.595.392 Octets
Somme de contrôle MD5:7789abbeda92bcfba31e85f897b00F13
Version IVDF:7.10.09.45 - jeudi 8 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Eset: Win32/Adware.DesktopDefender2010.AG


Plateformes / Systèmes d'exploitation:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
Peut être utilisé par des escrocs ou des logiciels malveillants pour diminuer les paramètres de sécurité.
Falsley signale une contamination par logiciel malveillant ou des problèmes sur le système et propose à l'utilisateur de les réparer, moyennant l'achat de l'application.


Immédiatement après l'exécution l'information suivante est affichée:



 Fichiers  Il supprime le fichier suivant:
   • %TEMPDIR%\qas1.tmp



Les fichiers suivants sont créés:

%TEMPDIR%\02c9c3c35bdx5.exe
%TEMPDIR%\17dkf.exe
%TEMPDIR%\1iowieoo.exe
%TEMPDIR%\2010yo.exe
%TEMPDIR%\472a10e2ebxd9.exe
%TEMPDIR%\56493.exe
%TEMPDIR%\8gmsed-bd.exe
%TEMPDIR%\a75wef8e0e7.exe
%TEMPDIR%\ae0965a7157cd.exe
%TEMPDIR%\al3erfa3.exe
%TEMPDIR%\aler3fa.exe
%TEMPDIR%\alerfa.exe
%TEMPDIR%\alerfa2.exe
%TEMPDIR%\alerfa322.exe
%TEMPDIR%\aqfitrlxi2.exe
%TEMPDIR%\backd-efq.exe
%TEMPDIR%\brdss.exe
%TEMPDIR%\bzqa43d.exe
%TEMPDIR%\cffd4.exe
%TEMPDIR%\cocksucker.exe
%TEMPDIR%\cosock.exe
%TEMPDIR%\cunifuc.exe
%TEMPDIR%\dc_3.exe
%TEMPDIR%\dd10x10.exe
%TEMPDIR%\ddhelp.exe
%TEMPDIR%\ddoll3342.exe
%TEMPDIR%\destroyer.exe
%TEMPDIR%\dffuck.exe
%TEMPDIR%\dkfjd93.exe
%TEMPDIR%\ds7hw.exe
%TEMPDIR%\dwl_bqz.exe
%TEMPDIR%\eelnvd13.exe
%TEMPDIR%\eephilpe.exe
%TEMPDIR%\exppdf_w.exe
%TEMPDIR%\fadz43.exe
%TEMPDIR%\fe.exe
%TEMPDIR%\format.exe
%TEMPDIR%\gedx_ae09.exe
%TEMPDIR%\gpdfsws_bbg.exe
%TEMPDIR%\gpupz2a.exe
%TEMPDIR%\hardwh.exe
%TEMPDIR%\hhbboll_2.exe
%TEMPDIR%\hiphop.exe
%TEMPDIR%\hjkgfddd.exe
%TEMPDIR%\hodeme.exe
%TEMPDIR%\htfad4.exe
%TEMPDIR%\hvipws9.exe
%TEMPDIR%\jdhellwo3.exe
%TEMPDIR%\jkfuckfu.exe
%TEMPDIR%\jofcdks.exe
%TEMPDIR%\kgn.exe
%TEMPDIR%\kilslmd.exex
%TEMPDIR%\kjdh_gf_jjdhgd.exe
%TEMPDIR%\kjh102k3.exe
%TEMPDIR%\kn.a.exe
%TEMPDIR%\kock.exe
%TEMPDIR%\ljts-23.exe
%TEMPDIR%\lkhgg_ea.exe
%TEMPDIR%\lols.exe
%TEMPDIR%\lorsk.exe
%TEMPDIR%\ploper.exe
%TEMPDIR%\poertd.exe
%TEMPDIR%\ppddfcfux.exxe
%TEMPDIR%\pswwg3c.exe
%TEMPDIR%\puzpup.exe
%TEMPDIR%\qwedvor.exe
%TEMPDIR%\qwklrvjhqlkj.exe
%TEMPDIR%\r0life.exe
%TEMPDIR%\rator.exe
%TEMPDIR%\rsrtd12.exe
%TEMPDIR%\rtfme.exe
%TEMPDIR%\safe.exe
%TEMPDIR%\snowif.exe
%TEMPDIR%\sycre.exe
%TEMPDIR%\test.exe
%TEMPDIR%\timem.exe
%TEMPDIR%\w32-reno-c.exe
%TEMPDIR%\warsddd_w.exe
%TEMPDIR%\wefgetn_00.exe
%TEMPDIR%\wergfq.exe
%TEMPDIR%\winlogoff.exe
%TEMPDIR%\wqefqw7e.exe
%TEMPDIR%\wrcud12.exe
%TEMPDIR%\wrfwe_di.exe
%TEMPDIR%\wwwsssgen.exe

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Desktop Security 2010"="%le dossier d'exécution du malware%\%le fichier exécuté%"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Desktop Security 2010]
   • "LastTimeStamp"=dword:00000061
   • "LastUpdateDate"="2010/6/17"
   • "DaysInterval"=dword:00000007
   • "BackgroundScanTimeout"=dword:00000001
   • "ScanSystemOnStartup"=dword:00000001
   • "AutomaticallyUpdates"=dword:00000001
   • "MinimizeOnStart"=dword:00000000
   • "BackgroundScan"=dword:00000001
   • "UnsecureStartup"=dword:00000000
   • "SoundEnabled"=dword:00000001
   • "ScanDepth"=dword:0000005e

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform]
   • "_reg"=
   • "(Default)"="????)IC?D?D"
   • ?

Description insérée par Patrick Schoenherr le jeudi 8 juillet 2010
Description mise à jour par Patrick Schoenherr le jeudi 8 juillet 2010

Retour . . . .