Nom:TR/FakeAV.ahx.1
La date de la découverte:24/05/2011
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:1.761.280 Octets
Somme de contrôle MD5:638f60ed1fd4531ca50d6b4cd29bd0dd
Version VDF:7.11.08.122 - mardi 24 mai 2011
Version IVDF:7.11.08.122 - mardi 24 mai 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Sophos: Mal/FakeAV-MJ
   •  Bitdefender: Trojan.Generic.KDV.247543
   •  AVG: FakeAlert.ADU
   •  Grisoft: FakeAlert.ADU
   •  Eset: Win32/Adware.PrivacyGuard2010.AZ
   •  DrWeb: Trojan.FakeAV.5867


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Arrêt les applications de sécurité
   • Falsley signale une contamination par logiciel malveillant ou des problèmes sur le système et propose à l'utilisateur de les réparer, moyennant l'achat de l'application.
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information


Immédiatement après l'exécution l'information suivante est affichée:








Juste après l'exécution il lance les applications windows qui affichent les fenêtres suivantes:




 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\Application Data\Microsoft\%chaîne de caractères aléatoire de six digits%.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="%HOME%\\Application Data\\Microsoft\\%chaîne de caractères aléatoire de six digits%.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "WarnOnHTTPSToHTTPRedirect"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "WarnOnHTTPSToHTTPRedirect"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "SysCert"=hex:%valeurs hexa%

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   • "DisableSR \0x0009"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msmpeng.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msseces.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msascui.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\egui.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ekrn.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avastui.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avastsvc.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\afwserv.exe]
   • "Debugger"="svchost.exe"

 Arrêt de processus:  La liste des services qui sont désactivés:
   • sc config WinDefend start= disabled
   • sc config msmpsvc start= disabled

 L'injection du code viral dans d'autres processus     Nom du processus:
   • LSASS, to requires SeDebugPrivilege


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.

Description insérée par Jason Soo le vendredi 17 juin 2011
Description mise à jour par Jason Soo le vendredi 17 juin 2011

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.