Description complète

Nom:	TR/Dldr.Agent.eckq
La date de la découverte:	28/07/2010
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Moyen
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	118.784 Octets
Somme de contrôle MD5:	a8dbf047f8b6d0eb40c01307ab798c28
Version IVDF:	7.10.09.249 - mercredi 28 juillet 2010

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Downloader.Win32.Agent.eckq
   • Eset: a variant of Win32/Injector.CLP
   • AhnLab: Downloader/Win32.Agent

Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %HOME%\user1\winlogon.exe

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://0-1-0-**********-0-0.info/VERSION.TXT
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\user1\VERSION.TXT

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\user1\winlogon.exe"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnt.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avsched32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avrescue.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avpmon.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\penis32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\periscope.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\persfw.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\perswf.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\pf2.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

Les clés de registre suivantes sont changées:

La page de démarrage d'Internet Explorer:

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Local Page"="c:\windows\\system32\\blank.htm"
   • "Start Page"="about:blank"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   La nouvelle valeur:
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Default_Page_URL"="http://www.nuevaq.fm"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Local Page"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
   • 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
   • 62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d,00,00,00
   • "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   La nouvelle valeur:
   • "Default_Page_URL"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"

L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

Nom du processus:
• svchost.exe

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Patrick Schoenherr le jeudi 29 juillet 2010
Description mise à jour par Patrick Schoenherr le jeudi 29 juillet 2010

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils