Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Koobface.M
La date de la découverte:02/08/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrôle MD5:89ce444593ac67ab669768c2160fc4ee
Version IVDF:7.10.10.45 - lundi 2 août 2010

 Général Les alias:
   •  Bitdefender: Trojan.Agent.21307
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/TrojanProxy.Small.NEB


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\webserver\webserver.exe




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://u07012010u.com/**********/?uptime=%nombre%&v=%nombre%&sub=%nombre%&ping=%nombre%&proxy=%nombre%&hits=%nombre%&noref=%nombre%&port=%nombre%&ftp=%nombre%




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1034


– Nom de fichier: Noms des fichiers:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 1034 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


– Nom de fichier: Noms des fichiers:
   • sc start "webserver"

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%PROGRAM FILES%\webserver\webserver.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "1034:TCP"="1034:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x00000344

 Porte dérobée Le port suivant est ouvert:

%PROGRAM FILES%\webserver\webserver.exe sur le port TCP 1034

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 22 septembre 2010
Description mise à jour par Petre Galan le vendredi 24 septembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.