Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Koobface.M
La date de la dcouverte:02/08/2010
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrle MD5:89ce444593ac67ab669768c2160fc4ee
Version IVDF:7.10.10.45 - lundi 2 août 2010

 Gnral Les alias:
   •  Bitdefender: Trojan.Agent.21307
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/TrojanProxy.Small.NEB


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\webserver\webserver.exe




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://u07012010u.com/**********/?uptime=%nombre%&v=%nombre%&sub=%nombre%&ping=%nombre%&proxy=%nombre%&hits=%nombre%&noref=%nombre%&port=%nombre%&ftp=%nombre%




Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1034


Nom de fichier: Noms des fichiers:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 1034 webserver ENABLE


Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Nom de fichier: Noms des fichiers:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


Nom de fichier: Noms des fichiers:
   • sc start "webserver"

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%PROGRAM FILES%\webserver\webserver.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "1034:TCP"="1034:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



La cl de registre suivante est ajoute:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x00000344

 Porte drobe Le port suivant est ouvert:

%PROGRAM FILES%\webserver\webserver.exe sur le port TCP 1034

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le mercredi 22 septembre 2010
Description mise à jour par Petre Galan le vendredi 24 septembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.