Nom:TR/Hosts.AQ.1
La date de la découverte:09/08/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:2.724.864 Octets
Somme de contrôle MD5:575cb9dd8434d2e074ba24a63ac51b25
Version IVDF:7.10.10.121 - lundi 9 août 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.efqa
   •  Sophos: Mal/FakeAV-EA
   •  Avast: Win32:Crypt-HFP
   •  Microsoft: Trojan:Win32/FakeVimes
   •  Panda: Adware/MySecurityShield
   •  Eset: Win32/Kryptik.FWJ
   •  GData: Win32:Crypt-HFP
   •  AhnLab: Win-Trojan/Fakeav.2724864
   •  DrWeb: Trojan.FakeSecure.15
   •  Ikarus: Trojan.Win32.FakeVimes


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée un fichier
   • Il crée des fichiers malveillants
   • Contamine les fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Le fichier suivant est modifié :
   • %SYSDIR%\drivers\etc\hosts



Il copie le fichier suivant:
    •  %SYSDIR%\drivers\etc\hosts en %SYSDIR%\drivers\etc\hosts_new



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– %ALLUSERSPROFILE%\Application Data\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire%.cfg Ensuite, il est exécuté après avoir été completment crée. Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.
%SYSDIR%\drivers\etc\hosts_new

 Registre La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Internet Explorer]
   La nouvelle valeur:
   • "IIL"=-
   • "ltHI"=-
   • "ltTST"=-
   • "PRS"=-
   • "BID"=-

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est redirigé vers d'autres destinations :
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Carlos Valero Llabata le vendredi 13 août 2010
Description mise à jour par Carlos Valero Llabata le vendredi 13 août 2010

Retour . . . .