Nom:TR/Drop.Wsgame.A
La date de la découverte:26/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Élevé
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:108.704 Octets
Somme de contrôle MD5:071138040C52088bb16a11760F19fc9f
Version IVDF:7.10.09.196 - lundi 26 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Artemis!071138040C52
   •  Sophos: Sus/UnkPack-C
   •  Microsoft: TrojanDropper:Win32/Frethog.K
   •  Panda: Trj/CI.A
   •  AhnLab: Trojan/Win32.OnlineGameHack
   •  DrWeb: Trojan.PWS.Wsgame.23196
   •  Ikarus: Worm.Win32.Taterf


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres

 Fichiers Il copie le fichier suivant:
    •  %WINDIR%\notepad.exe en %WINDIR%\%chaîne de caractères aléatoire%



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\ahnoo0.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Wsgame.A

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "%CLSID%"="hook dll rising"



Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\%CLSID%\InprocServer32]
   • "(Default)"="%SYSDIR%\ahnoo0.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\%CLSID%]
– [HKCR\CLSID\%CLSID%]
   • "VcbitExeModuleName"="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "VcbitDllModuleName"="%SYSDIR%\ahnoo0.dll"
   • "VcbitSobjEventName"="CVBASDDOOPADSAMN_0"

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Carlos Valero Llabata le jeudi 12 août 2010
Description mise à jour par Carlos Valero Llabata le jeudi 12 août 2010

Retour . . . .