Nom:TR/Fake.SecSui.O
La date de la découverte:12/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:293.632 Octets
Somme de contrôle MD5:29891f565c522214bec5ee4e5f635ceb
Version VDF:7.10.09.72

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Kaspersky: Trojan.Win32.FraudPack.azkf
   •  Microsoft: Trojan:Win32/FakeSpypro
   •  Panda: Trj/CI.A
   •  Eset: Win32/Adware.SpywareProtect2009
   •  AhnLab: Trojan/Win32.FraudPack
   •  DrWeb: Trojan.Fakealert.18283


La plateforme / le système d'exploitation:
   • Windows XP


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Arrêt les applications de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\AVSS]
– [HKLM\Software\AVSS]
– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"



La clé de registre suivante est changée:

Il réduit les réglages de sécurité d'Internet Explorer

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   L'ancienne valeur:
   • "ProxyEnable"=dword:00000000
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""
   •

Description insérée par Florian Burlefinger le mercredi 14 juillet 2010
Description mise à jour par Florian Burlefinger le jeudi 15 juillet 2010

Retour . . . .