Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Spy.SpyEyes.eic
La date de la découverte:10/01/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:294.912 Octets
Somme de contrôle MD5:a17ee10abdaf0c5c34abb551dab340b5
Version VDF:7.10.07.173
Version IVDF:7.11.01.60 - lundi 10 janvier 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.eic
   •  F-Secure: Trojan-Spy.Win32.SpyEyes.eic
   •  Microsoft: Win32/EyeStye.H
   •  Eset: Win32/Spy.SpyEye.CA
   •  DrWeb: BackDoor.Spy.706


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %lecteur%\portwexexe\portwexexe.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%lecteur%\portwexexe\config.bin

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
   • "portwexexe.exe"="%lecteur%\portwexexe\portwexexe.exe"



Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\PhishingFilter
   • "EnabledV8"=dword:00000000
   • "ShownServiceDownBalloon"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\DBControl


La clé de registre suivante est changée:

Il réduit les réglages de sécurité d'Internet Explorer

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   L'ancienne valeur:
   • "EnableHttp1_1"=%réglages définis par l'utilisateur%
   • "ProxyHttp1.1"=%réglages définis par l'utilisateur%
   • "WarnOnPost"=%réglages définis par l'utilisateur%
   • "WarnOnPostRedirect"=%réglages définis par l'utilisateur%
   • "WarnOnIntranet"=%réglages définis par l'utilisateur%
   • "GlobalUserOffline"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:00000000
   • "WarnOnIntranet"=dword:00000000
   • "GlobalUserOffline"=dword:00000000

 Porte dérobée Serveur de contact:
Le suivant:
   • http://soundpong.com/ahjsda65sda/**********guid=%chaîne de caractères%&ver=%nombre%&stat=%chaîne de caractères%&ie=6.0.2900.2180&os=%nombre%&ut=%chaîne de caractères%&plg=%chaîne de caractères%&ccrc=%nombre%&md5=%chaîne de caractères%



Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Utilisateur courant
    • Le statut courant du malware
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • explorer.exe


 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.microsoft.com

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX


Chiffrement :
Crypté – Le code du virus à l'intérieur du fichier contaminé est crypté.

Description insérée par Ana Maria Niculescu le vendredi 25 février 2011
Description mise à jour par Ana Maria Niculescu le jeudi 3 mars 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.