Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Meredrop.A.12421
La date de la dcouverte:08/08/2010
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:189.440 Octets
Somme de contrle MD5:ada7ddfbc9abd5686fd8caa8a85b67d1
Version VDF:7.10.09.170
Version IVDF:7.10.10.104 - dimanche 8 août 2010

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Mcafee: Downloader-CEW.a
   •  Kaspersky: Worm.Win32.Pinit.rl
   •  TrendMicro: TROJ_FAKEAV.SMZU
   •  Sophos: Mal/FakeAV-EI
     Avast: Win32:MalOb-BU
     Microsoft: Trojan:Win32/Meredrop
   •  Panda: W32/Pinit.M.worm
     PCTools: Trojan.FakeAV
   •  VirusBuster: Worm.Pinit.VN
AhnLab: Trojan/Win32.FakeAV
     Authentium: W32/Trojan2.NCZZ
     Fortinet: W32/Pinit.EI!worm
     Ikarus: Worm.Win32.Pinit
     Norman: W32/Pinit.CD


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista


Effets secondaires:
   • Il tlcharge des fichiers
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\cooper.mine



Les fichiers suivants sont crs:

%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll Dtect comme: TR/Patched.gq.16

%SYSDIR%\nmklo.dll Dtect comme: WORM/Pinit.MT

%SYSDIR%\h7t.wt
%SYSDIR%\ff4h.gy
%SYSDIR%\hgtd.ruy



Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • silajopa.com/tpsa/gate/**********


L'emplacement est le suivant:
   • silajopa.com/tpsa/gate/**********




Il essaie dexcuter le fichier suivant :

Nom de fichier: Noms des fichiers:
   • %SYSDIR%\Wbem\wmic.exe
Il excute le fichier avec les paramtres suivantes : path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registre Les cls de registre suivantes sont ajoute:

[HKLM\Software\microsoft\Windows NT\CURRENTVERSION\WINDOWS]
   • "Appiaat_Dlls"="nmklo"

[HKLM\SOFTWARE\1]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff" "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SOFTWARE\3]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmdmqrpmeqhmnng"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SOFTWARE\9]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="kgomncpjpnogoconproiodorqjqoqhqfrprgmlmlocrhrlqnogkrpcpipp"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core]
   • "EnableConcurrentSessions"=dword:00000001



La cl de registre suivante est change:

[HKLM\SYSTEM\ControlSet001\Control\Terminal Server]
   La nouvelle valeur:
   • "fDenyTSConnections"=dword:00000000

 Infection du rseau La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS04-011 (LSASS Vulnerability)

 Arrt de processus: La liste des processus qui sont termins:
   • zlclient.exe
   • outpost.exe
   • avgcc.exe
   • kpf4ss.exe
   • kavpf.exe
   • mpfsrv.exe


 Porte drobe Le port suivant est ouvert:

svchost.exe sur le port TCP 3389 afin de fournir de capacits de porte drobe

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Alexandru Dinu le jeudi 30 septembre 2010
Description mise à jour par Alexandru Dinu le jeudi 30 septembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.