Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Click.awyu.98816
La date de la dcouverte:20/05/2010
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:439.808 Octets
Somme de contrle MD5:de8628c816e0fe9bb6037713f65411b5
Version IVDF:7.10.07.148 - jeudi 20 mai 2010

 Gnral Mthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Sophos: Troj/JSRedir-CC
   •  Bitdefender: Rootkit.36329
   •  Panda: W32/P2PShared.U
   •  Eset: Win32/Merond.O


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les rglages de scurit
   • Il tlcharge des fichiers malveillants
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\AdobeARMI.exe



Il supprime le fichier suivant:
   • %SYSDIR%\adobereader.exe



Les fichiers suivants sont crs:

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: JS/Dursg.G

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%HOME%\Application Data\SystemProc\lsass.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Buzus.ecqp

%SYSDIR%\adobereader.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Buzus.ecqp

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest



Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • http://controllqz.com/**********?aid=%chai?ne de caracte?res%


L'emplacement est le suivant:
   • http://oxoblaster.com/**********?pop=%nombre%&aid&sid&key


L'emplacement est le suivant:
   • http://tetrosearch.com/**********?aid&ver


Les emplacements sont les suivants:
   • http://simfreebox.com/**********?sd=%chai?ne de caracte?res%&aid=%chai?ne de caracte?res%
   • http://position7.com/**********?sd=%chai?ne de caracte?res%&aid=%chai?ne de caracte?res%
   • http://rtsmor.com/**********?sd=%chai?ne de caracte?res%&aid=%chai?ne de caracte?res%
   • http://qulino.com/**********?sd=%chai?ne de caracte?res%&aid=%chai?ne de caracte?res%




Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • "%SYSDIR%\adobereader.exe"


Nom de fichier: Noms des fichiers:
   • "%HOME%\Application Data\SystemProc\lsass.exe"

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Adobe Reader Updater6"="%SYSDIR%\AdobeARMI.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Les valeurs des cls de registre suivantes sont supprimes:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui

–  [HKCU\Identities]
   • First Start
   • KillSelf
   • Send Inst



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\AdobeARMI.exe"="%SYSDIR%\AdobeARMI.exe:*:Enabled:Explorer"



Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "adobe076"="07"
   • "adobe086"="30"

[HKCU\Identities]
   • "Curr version"="25"
   • "Inst Date"="%la date courante%"
   • "Last Date"="%la date courante%"
   • "Popup count"="0"
   • "Popup date"="0"
   • "Popup time"="0"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Cindy would like to be your friend on hi5!
   • Shipping update for your Amazon.com order
   • Thank you from Google!
   • You have got a new message on Facebook!
   • You have received A Hallmark E-Card!
   • Your friend invited you to Twitter!



Corps:
– Il contient du code HTML


Pice jointe:



Voici quelques exemples de la manire dont le nom du fichier de la pice jointe pourrait ressembler:
   • Facebook message.zip
   • Invitation Card.zip
   • Postcard.zip
   • Shipping documents.zip

La pice jointe est une archive contenant une copie du virus

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise: Il cherche les rpertoires suivants:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   En cas de succs, les fichiers suivants sont crs:
   • YouTubeGet 5.6.exe; Youtube Music Downloader 1.3.exe; WinRAR v3.x
      keygen [by HiXem].exe; Windows2008 keygen and activator.exe; [+ MrKey
      +] Windows XP PRO Corp SP3 valid-key generator.exe; Windows Password
      Cracker + Elar3 key.exe; [Eni0j0 team] Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe; Website Hacker.exe;
      [Eni0j0 team] Vmvare keygen.exe; VmWare 7.x keygen.exe; UT 2003
      KeyGen.exe; Twitter FriendAdder 2.3.9.exe; Tuneup Ultilities 2010.exe;
      [antihack tool] Trojan Killer v2.9.4173.exe; Total Commander7
      license+keygen.exe; Super Utilities Pro 2009 11.0.exe; Sub7 2.5.1
      Private.exe; Sophos antivirus updater bypass.exe; sdbot with NetBIOS
      Spread.exe; [fixed]RapidShare Killer AIO 2010.exe; Rapidshare Auto
      Downloader 3.8.6.exe; Power ISO v4.4 + keygen milon.exe; [patched,
      serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe;
      [patched, serial not needed] PDF to Word Converter 3.4.exe; PDF
      password remover (works with all acrobat reader).exe; Password
      Cracker.exe; Norton Internet Security 2010 crack.exe; Norton
      Anti-Virus 2010 Enterprise Crack.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; NetBIOS Hacker.exe; NetBIOS Cracker.exe;
      [patched, serial not need] Nero 9.x keygen.exe; Myspace theme
      collection.exe; MSN Password Cracker.exe; Mp3 Splitter and Joiner Pro
      v3.48.exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe; Microsoft
      Visual Studio KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Microsoft
      Visual Basic KeyGen.exe; McAfee Total Protection 2010 [serial patch by
      AnalGin].exe; Magic Video Converter 8.exe; LimeWire Pro v4.18.3
      [Cracked by AnalGin].exe; L0pht 4.0 Windows Password Cracker.exe;
      K-Lite Mega Codec v5.2 Portable.exe; K-Lite Mega Codec v5.2.exe;
      Keylogger unique builder.exe; Kaspersky Internet Security 2010
      keygen.exe; Kaspersky AntiVirus 2010 crack.exe; IP Nuker.exe; Internet
      Download Manager V5.exe; Image Size Reducer Pro v1.0.1.exe; ICQ Hacker
      Trial version [brute].exe; Hotmail Hacker [Brute method].exe; Hotmail
      Cracker [Brute method].exe; Half-Life 2 Downloader.exe; Grand Theft
      Auto IV [Offline Activation + mouse patch].exe; Google SketchUp 7.1
      Pro.exe; G-Force Platinum v3.7.6.exe; FTP Cracker.exe; DVD Tools Nero
      10.x.x.x.exe; Download Boost 2.0.exe; Download Accelerator Plus
      v9.2.exe; Divx Pro 7.x version Keymaker.exe; DivX 5.x Pro KeyGen
      generator.exe; DCOM Exploit archive.exe; Daemon Tools Pro 4.8.exe;
      Counter-Strike Serial key generator [Miona patch].exe; CleanMyPC
      Registry Cleaner v6.02.exe; Brutus FTP Cracker.exe; Blaze DVD Player
      Pro v6.52.exe; BitDefender AntiVirus 2010 Keygen.exe; Avast 5.x
      Professional.exe; Avast 4.x Professional.exe; Ashampoo Snap 3.xx
      [Skarleot Group].exe; AOL Password Cracker.exe; AOL Instant Messenger
      (AIM) Hacker.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Anti-Porn
      v13.x.x.x.exe; Alcohol 120 v1.9.x.exe; Adobe Photoshop CS4 crack by
      M0N5KI Hack Group.exe; Adobe Illustrator CS4 crack.exe; Adobe Acrobat
      Reader keygen.exe; Ad-aware 2010.exe; [patched, serial not needed]
      Absolute Video Converter 6.2-7.exe


 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://whatismyip.com/automation/n09230945.asp

 La technologie Rootkit Il cache les suivants:
– Son propre processus


La mthode utilise:
     Cach de Windows API

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le vendredi 30 juillet 2010
Description mise à jour par Petre Galan le mardi 3 août 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.