Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Drop.Agent.tzb
La date de la dcouverte:29/12/2008
Type:Cheval de Troie
Sous type:Dropper
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:112.640 Octets
Somme de contrle MD5:46d5d944e89a3584f20583b3f2de51cb
Version VDF:7.01.01.40
Version IVDF:7.01.01.43 - lundi 29 décembre 2008

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Sophos: W32/Autorun-BLY
   •  Bitdefender: Worm.Generic.52609
   •  Panda: W32/VenoMLucifer.A
   •  Eset: BAT/Autorun.B


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accs aux certains sites web
   • Il bloque l'accs aux sites web de scurit
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %lecteur%\SystemVolumeInformation\LucifeR.exe



Il crase un fichier.
%SYSDIR%\drivers\etc\hosts



Les fichiers suivants sont crs:

%lecteur%\AutoruN.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\COM17949.DLL
%TEMPDIR%\bt38830.bat Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: BAT/Mevon.A




Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • cmd.exe /c %TEMPDIR%\bt38830.bat %le fichier excut%


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d "2" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d "0" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoRecycleFiles /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoPropertiesMyComputer /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • taskkill /f /im Ad-Watch.EXE


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d "0" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableConfig /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableSR /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 1 /t reg_sz /d "notepad.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 2 /t reg_sz /d "HijackThis.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 3 /t reg_sz /d "wordpad.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 4 /t reg_sz /d "rstrui.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "taskmgr.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "msconfig.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 6 /t reg_sz /d "regedit.exe" /f


Nom de fichier: Noms des fichiers:
   • attrib +s +h "%HOME%\Application Data\Micro$oft\desktop.log"


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 7 /t reg_sz /d "HiJackThis_v2.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 10 /t reg_sz /d "cmd.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 11 /t reg_sz /d "ibprocman.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 12 /t reg_sz /d "explorer.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 13 /t reg_sz /d "integrator.exe.exe" /f


Nom de fichier: Noms des fichiers:
   • find /i "metroflog" "%SYSDIR%\drivers\etc\hosts"


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d "www.google.com.mx" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKCU\VenoM.LucifeR.17949179491794917949\suriV" /v "Tu has sido derrotado de nuevo por VenoM" /d "Burn in Hell" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\GPEDIT.MSC" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\attrib.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • attrib -s -h -r -a %le fichier excut%


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\command.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\Dxdiag.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\notepad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\regedit.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\taskkill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\tskill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\HELPCTR.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\Software\Microsoft\windows\CurrentVersion\Run" /v CTFMON.EXE /t reg_sz /d "%WINDIR%\svchost.exe" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\MSCONFIG.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\VenoM.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\wordpad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Nom de fichier: Noms des fichiers:
   • attrib +h +s C:\WINDOWS


Nom de fichier: Noms des fichiers:
   • attrib +s +h "%SYSDIR%"


Nom de fichier: Noms des fichiers:
   • attrib +s +h "%WINDIR%\notepad.exe"


Nom de fichier: Noms des fichiers:
   • attrib +s +h "%SYSDIR%\notepad.exe"


Nom de fichier: Noms des fichiers:
   • attrib +s +h +r +a %lecteur%\AutoruN.inf


Nom de fichier: Noms des fichiers:
   • attrib +s +h "%lecteur%\SystemVolumeInformation\*.exe"


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon" /v Shell /t reg_sz /d "Explorer.exe %corbeille%\NTDETECT.EXE" /f


Nom de fichier: Noms des fichiers:
   • attrib +s +h "%lecteur%\SystemVolumeInformation"


Nom de fichier: Noms des fichiers:
   • attrib -h -s -r -a %le fichier excut%


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f

 Registre Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   MSCONFIG.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "DisallowRun"=dword:0x00000001
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001
   • "NoPropertiesMyComputer"=dword:0x00000001
   • "NoRecycleFiles"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   HELPCTR.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore]
   • "DisableConfig"=dword:0x00000001
   • "DisableSR"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   VenoM.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   GPEDIT.MSC]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   Dxdiag.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\VenoM.LucifeR.17949179491794917949\suriV]
   • "Tu has sido derrotado de nuevo por VenoM"="Burn in Hell"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   tskill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   taskkill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   regedit.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   attrib.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   command.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\
   DisallowRun]
   • "1"="notepad.exe"
   • "10"="cmd.exe"
   • "11"="ibprocman.exe"
   • "12"="explorer.exe"
   • "13"="integrator.exe.exe"
   • "2"="HijackThis.exe"
   • "3"="wordpad.exe"
   • "4"="rstrui.exe"
   • "5"="msconfig.exe"
   • "6"="regedit.exe"
   • "7"="HiJackThis_v2.exe"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   notepad.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\Software\Microsoft\windows\CurrentVersion\Run]
   • "CTFMON.EXE"="%WINDIR%\svchost.exe"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\inifile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   wordpad.exe]
   La nouvelle valeur:
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\JSFile\Shell\Open\Command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\piffile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\VBEFile\Shell\Open\Command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\inffile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon]
   La nouvelle valeur:
   • "Shell"="Explorer.exe %corbeille%\NTDETECT.EXE"

[HKLM\SOFTWARE\Classes\batfile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • "Start Page"="www.google.com.mx"

[HKLM\SOFTWARE\Classes\cmdfile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\regfile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

 Htes Le fichier hte est modifi, comme il est expliqu:

Dans ce cas les entres dj existantes ne sont pas modifies.

L'accs aux liens URL suivants est effectivement bloqu :
   • 127.0.0.1 www.metroflog.com
   • 127.0.0.1 www.hotmail.com
   • 127.0.0.1 www.google.com


 Arrt de processus: Le processus suivant est termin:
   • Ad-Watch.EXE


 Dtails de fichier Langage de programmation:
Le fichier a t crit en Delphi.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le vendredi 25 février 2011
Description mise à jour par Petre Galan le vendredi 25 février 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.