Nom:TR/FakeAV.LBQ
La date de la découverte:19/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:45.568 Octets
Somme de contrôle MD5:d7c2473852f25cc0a06094d9e9130Fac
Version IVDF:7.10.09.110 - lundi 19 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.TDSS.ur
   •  F-Secure: Trojan.FakeAV.LBQ
   •  Sophos: Mal/TDSSPk-AD
   •  Bitdefender: Trojan.FakeAV.LBQ
   •  Microsoft: Trojan:Win32/Meredrop
   •  AVG: Agent2.AZMO
   •  VirusBuster: Trojan.Meredrop.ABKU
   •  Eset: Win32/Olmarik.ABS
   •  Sunbelt: Trojan.Win32.Meredrop
   •  GData: Trojan.FakeAV.LBQ
   •  AhnLab: Backdoor/Win32.TDSS
   •  DrWeb: Trojan.PWS.IpDiscover.17
   •  Ikarus: Trojan.Win32.Meredrop


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Redirige vers un site Internet contaminé

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\b3bfd04c.exe



Les fichiers suivants sont créés:

%SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/FakeAV.LBQ

%WINDIR%\Tasks\b3bfd04c.job
%SYSDIR%\ernel32.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/FakeAV.LBQ

 Registre Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UacDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   L'ancienne valeur:
   • "NameServer"="%Adresse IP%"
   • "DhcpNameServer"="%Adresse IP%"
   La nouvelle valeur:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   L'ancienne valeur:
   • "NameServer"="%Adresse IP%"
   • "DhcpNameServer"="%Adresse IP%"
   La nouvelle valeur:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

 L'injection du code viral dans d'autres processus – Il s'injecte lui-même dans les processus.

    Tous les processus suivants:
   • spoolsv.exe
   • svchost.exe


Description insérée par Patrick Schoenherr le lundi 26 juillet 2010
Description mise à jour par Patrick Schoenherr le lundi 26 juillet 2010

Retour . . . .