Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/PSW.Magania.bgme
La date de la découverte:17/06/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:104.476 Octets
Somme de contrôle MD5:6F7D0987DF91CCD605DD2A5DDD8E2987
Version IVDF:7.01.04.101 - mercredi 17 juin 2009

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Worm.Win32.AutoRun.gbp
   •  TrendMicro: WORM_AUTORUN.DUY
   •  F-Secure: Trojan.PWS.OnLineGames.KCMZ
   •  Bitdefender: Trojan.PWS.OnLineGames.KCMZ
   •  Microsoft: Worm:Win32/Taterf.B
   •  AVG: Worm/AutoRun.GL
   •  PCTools: Worm.AutoRun.gbp
   •  VirusBuster: Worm.Taterf.ACC
   •  Eset: Win32/PSW.OnLineGames.NNU
   •  Sunbelt: Worm.Win32.AutoRun.gbp
   •  GData: Trojan.PWS.OnLineGames.KCMZ
   •  Authentium: W32/Onlinegames.BYF
   •  DrWeb: Trojan.MulDrop.31605
   •  Rising: Trojan.PSW.Win32.GameOnline.eri


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il télécharge un fichier
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\olhrwef.exe
   • %lecteur%\fsaht.cmd



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • C:\fsaht.cmd
   • %TEMPDIR%\am1.rar



Les fichiers suivants sont créés:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\nmdfgds0.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://ngjk34.net/mg/****
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\am1.rar

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\drivers\cdaudio.sys
   • "DisplayName"="AVPsys"

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Diaconescu le mardi 2 novembre 2010
Description mise à jour par Irina Diaconescu le lundi 8 novembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.