Nom:TR/Kryptik.FU
La date de la découverte:01/09/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:98.304 Octets
Somme de contrôle MD5:d2f7cb6da675a38bfa963c023a732b1f
Version IVDF:7.10.11.70 - jeudi 2 septembre 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: W32.Yimfoca
   •  Kaspersky: IM-Worm.Win32.Yahos.ci
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: W32/MSNworm.JB.worm
   •  PCTools: Malware.Yimfoca
   •  VirusBuster: Trojan.Ircbrute.BLB
   •  Eset: IRC/SdBot.AVU
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Malware/Win32.Yimfoca
   •  DrWeb: BackDoor.Siggen.25869
   •  Fortinet: W32/SDBot.30ED!tr
   •  Ikarus: Trojan.Win32.Ircbrute
   •  Norman: W32/Ircbrute.AR


Plateformes / Systèmes d'exploitation:
   • Windows XP


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exg



Il supprime le fichier suivant:
   • %WINDIR%\jusched.exg

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%repertoire actuel%\\%le fichier exécuté%
      "="%WINDIR%\jusched.exe:*:Enabled:Java developer Script Browse"

Description insérée par Christoph Baumann le lundi 6 septembre 2010
Description mise à jour par Christoph Baumann le lundi 6 septembre 2010

Retour . . . .