Nom:TR/Spy.Agent.144896
La date de la découverte:28/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Élevé
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:144.896 Octets
Somme de contrôle MD5:d3de1f75b8151c284ab04819994c0Dc9
Version IVDF:7.10.09.249 - mercredi 28 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Downloader.MisleadApp
   •  Kaspersky: Trojan.Win32.FraudPack.bcet
   •  TrendMicro: TROJ_FAKEAV.SMXG
   •  F-Secure: Trojan:W32/Cosmu.Z
   •  Sophos: Mal/Behav-321
   •  Bitdefender: Trojan.Downloader.FakeAlert.FN
   •  Microsoft: TrojanDownloader:Win32/FakeRean
   •  AVG: Crypt.YBS
   •  Panda: Adware/DesktopSecurity2010
   •  PCTools: Downloader.MisleadApp
   •  VirusBuster: Trojan.Bredolab.DDF
   •  Eset: Win32/TrojanDownloader.FakeAlert.BAT
   •  GData: Trojan.Downloader.FakeAlert.FN
   •  AhnLab: Win-Trojan/Fakeav.144896.G
   •  Authentium: W32/Trojan3.BWP
   •  DrWeb: Trojan.DownLoad1.64194
   •  Fortinet: W32/Agent.AEB5!tr.dldr
   •  Ikarus: Trojan.Win32.FakeAV


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %PROGRAM FILES%\MSN\MSNCoreFiles\Setup\MSNUNINCommunications.exe
   • %PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe
   • %PROGRAM FILES%\Windows Media Player\MicrosoftRPlayer9.00.00.3250.exe
   • %PROGRAM FILES%\MSN\MSNCoreFiles\msnmetalupdate.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.ex
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\1036\ApplicationReporting.exe



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %TEMPDIR%\qas1.tmp
   • %TEMPDIR%\qas2.tmp
   • %TEMPDIR%\qas3.tmp
   • %TEMPDIR%\qas4.tmp
   • %TEMPDIR%\qas5.tmp

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "KernelFaultCheck"="%systemroot%\system32\dumprep 0 -k"
   • "MicrosoftMicrosoft"="%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "UpdateRegUtils"="%PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe"

– [HKLM\SOFTWARE\Microsoft\MediaPlayer\Setup\Files]
   • "1"=%valeurs hexa%
   • "2"=%valeurs hexa%
   • "3"=%valeurs hexa%
   • "4"=%valeurs hexa%

Description insérée par Carlos Valero Llabata le jeudi 12 août 2010
Description mise à jour par Carlos Valero Llabata le jeudi 12 août 2010

Retour . . . .