Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/PSW.Magania.bgme
La date de la dcouverte:17/06/2010
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:104.476 Octets
Somme de contrle MD5:6F7D0987DF91CCD605DD2A5DDD8E2987
Version IVDF:7.01.04.101 - mercredi 17 juin 2009

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Worm.Win32.AutoRun.gbp
   •  TrendMicro: WORM_AUTORUN.DUY
   •  F-Secure: Trojan.PWS.OnLineGames.KCMZ
   •  Bitdefender: Trojan.PWS.OnLineGames.KCMZ
     Microsoft: Worm:Win32/Taterf.B
     AVG: Worm/AutoRun.GL
     PCTools: Worm.AutoRun.gbp
   •  VirusBuster: Worm.Taterf.ACC
   •  Eset: Win32/PSW.OnLineGames.NNU
     Sunbelt: Worm.Win32.AutoRun.gbp
     GData: Trojan.PWS.OnLineGames.KCMZ
     Authentium: W32/Onlinegames.BYF
     DrWeb: Trojan.MulDrop.31605
     Rising: Trojan.PSW.Win32.GameOnline.eri


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il tlcharge un fichier
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\olhrwef.exe
   • %lecteur%\fsaht.cmd



Il supprime sa propre copie, excute initialement



Il supprime les fichiers suivants:
   • C:\fsaht.cmd
   • %TEMPDIR%\am1.rar



Les fichiers suivants sont crs:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\nmdfgds0.dll Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://ngjk34.net/mg/****
Il est sauvegard sur le disque dur local l'emplacement: %TEMPDIR%\am1.rar

 Registre La cl de registre suivante est ajoute:

[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\drivers\cdaudio.sys
   • "DisplayName"="AVPsys"

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Irina Diaconescu le mardi 2 novembre 2010
Description mise à jour par Irina Diaconescu le lundi 8 novembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.