Nom:TR/Fakealert.MA.591
La date de la découverte:21/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:172.032 Octets
Somme de contrôle MD5:9da73b97fb0532f93b4962100903a9c7
Version IVDF:7.10.09.190 - vendredi 23 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Downloader-CEW.b
   •  Kaspersky: Packed.Win32.Katusha.n
   •  TrendMicro: TROJ_FAKEAV.SMA2
   •  F-Secure: Trojan-Downloader:W32/Renos.GRS
   •  Sophos: Mal/FakeAV-BW
   •  Avast: Win32:MalOb-BR
   •  Microsoft: TrojanDownloader:Win32/Renos.KF
   •  PCTools: Trojan.FakeAV
   •  VirusBuster: Trojan.Kryptik.AHJS
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Win-Trojan/Katusha.172032.CX
   •  DrWeb: Trojan.Packed.189
   •  Fortinet: W32/Katusha.BW!tr


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres

 Fichiers Le fichier suivant est créé:

%WINDIR%\taks\%CLSID%.job Ensuite, il est exécuté après avoir été completment crée. Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %chaîne de caractères aléatoire%"="c:\%repertoire actuel%\%le fichier exécuté%



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\%chaîne de caractères aléatoire%]
   • "%chaîne de caractères aléatoire%"="%chaîne de caractères aléatoire%"
   • "%chaîne de caractères aléatoire%"="%chaîne de caractères aléatoire%"
   • "%chaîne de caractères aléatoire%"=dword:%valeurs hexa%
   • "%chaîne de caractères aléatoire%"=dword:%valeurs hexa%
   • "%chaîne de caractères aléatoire%"=dword:%valeurs hexa%
   • "%chaîne de caractères aléatoire%"="%chaîne de caractères aléatoire%"
   • "%chaîne de caractères aléatoire%"="%chaîne de caractères aléatoire%"
   • "%chaîne de caractères aléatoire%"=dword:%valeurs hexa%
   • "%chaîne de caractères aléatoire%"=dword:%valeurs hexa%
   • "%chaîne de caractères aléatoire%"=dword:%valeurs hexa%

– [HKCU\Software\XML]

Description insérée par Christoph Baumann le jeudi 2 septembre 2010
Description mise à jour par Christoph Baumann le jeudi 2 septembre 2010

Retour . . . .