Nom:TR/Oficla.W.1
La date de la découverte:14/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:862528 Octets
Somme de contrôle MD5:41B2DBB997CE5FF443DD5594EB6BCFF2
Version IVDF:7.10.09.86 - mercredi 14 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  F-Secure: Trojan-Downloader:W32/Oficla.GX
   •  Sophos: Mal/FakeAV-BW


Plateformes / Systèmes d'exploitation:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il produit une copie de lui même. Et en plus des bytes incidentaires vont être attaches lesquelles font à la fin qu’il ne soit plus identique avec le fichier original.
   • %SYSDIR%\svrwsc.exe



Le fichier suivant est créé:

– Fichier inoffensif:
   • %WINDIR%\Debug\UserMode\userenv.log

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valeurs hexa%
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."
   •

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Security]
   • "Security"=hex:%valeurs hexa%



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Enum]
   • "0"="Root\LEGACY_SVRWSC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000]
   • "Service"="SvrWsc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Security Center Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\DirectX\MSA]
   • "ver"=hex(b):cd,a2,c7,01,38,6b,01,d1
   • "X1"=hex:%valeurs hexa%

– [HKLM\SOFTWARE\Microsoft\DirectX\MSB]
   • "X1"=hex:00,00,00,00

 Porte dérobée Serveur de contact:
Le suivant:
   • m**********ng.ru/music/forum/index1.php

En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

Description insérée par Patrick Schoenherr le mercredi 14 juillet 2010
Description mise à jour par Patrick Schoenherr le mercredi 14 juillet 2010

Retour . . . .