Nom:TR/SpamBot.E
La date de la découverte:19/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:55.808 Octets
Somme de contrôle MD5:64ce27a4edc375f5dcb68b8641738f34
Version IVDF:7.10.09.151 - mercredi 21 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Spam-Mailbot.m
   •  Sophos: Mal/FakeAV-CZ
   •  Microsoft: Spammer:Win32/Tedroo
   •  Panda: Bck/Bredolab.AZ
   •  DrWeb: Trojan.Spambot.6788


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il modifie des registres
   • Il emploie son propre moteur de courrier électronique

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

Différents réglages pour Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   La nouvelle valeur:
   • "id"="F15ECF88A2EC"
   • "remove"="%le fichier exécuté%"

 Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses créées


Sujet:
Le suivant:
   • %l'adresse email du destinataire% VIAGRA ® Official Site -45%



Corps:
– Il contient du code HTML



L'email ressemble à celui-ci:


 Porte dérobée Serveur de contact:
Le suivant:
   • http://19**********3.62/82567/kelly.php

En conséquence la possibilité de contrôle à distance est fournie. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Capacités d'accès à distance:
    • Envoyer des e-mails
    • Relié au Spam

Description insérée par Patrick Schoenherr le jeudi 22 juillet 2010
Description mise à jour par Patrick Schoenherr le jeudi 22 juillet 2010

Retour . . . .