Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Killav.NJ
La date de la découverte:19/01/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:174.592 Octets
Somme de contrôle MD5:4beca2b8788ef210bfe35bd70f6ab4ac
Version VDF:7.01.01.131
Version IVDF:7.01.01.140 - lundi 19 janvier 2009

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Kaspersky: Trojan-GameThief.Win32.Magania.dxii
   •  TrendMicro: TROJ_GAMETHI.GQX
   •  Sophos: Troj/PWS-BOS
   •  Avast: Win32:OnLineGames-FVA


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\apiqq.exe
   • %lecteur%\io3yalc.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.baidutvc.com/1mg/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\arking.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://www.baidutvc.com/1mg/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\arking0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://www.baiduop0.com/1mg/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\apiqq0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "api32"="%TEMPDIR%\apiqq.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:00000000

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Andrei Ilie le jeudi 21 avril 2011
Description mise à jour par Andrei Ilie le mardi 24 mai 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.