Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Kazy.24732.12
La date de la découverte:30/05/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:185.856 Octets
Somme de contrôle MD5:137d614bcab51797b4be6b6cac0016b6
Version IVDF:7.11.08.168 - lundi 30 mai 2011

 Général Les alias:
   •  Bitdefender: Trojan.Downloader.JOID
   •  GData: Trojan.Downloader.JOID


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\Application Data\dwm.exe



Il supprime les fichiers suivants:
   • %TEMPDIR%\4.exe
   • %TEMPDIR%\5.exe



Les fichiers suivants sont créés:

%TEMPDIR%\4.exe
%TEMPDIR%\csrss.exe
– %HOME%\Application Data\01E2.543
– %HOME%\Application Data\Microsoft\conhost.exe
%TEMPDIR%\5.exe



Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://separatemilkandtee.com/blog/images/**********?v37=%nombre%&tq=%chaîne de caractères%
   • http://highspeeddbsearch.com/blog/images/**********?v46=%nombre%&tq=%chaîne de caractères%




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\4.exe check


– Nom de fichier: Noms des fichiers:
   • %HOME%\Application Data\Microsoft\conhost.exe


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\5.exe check


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\csrss.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%HOME%\Application Data\dwm.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%HOME%\Application Data\Microsoft\conhost.exe"



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   La nouvelle valeur:
   • "Load"="%TEMPDIR%\csrss.exe"

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.google.com
Accède à des ressources Internet :
   • http://healthylifenow.com/templates/7349/images/**********?v78=%nombre%&tq=%chaîne de caractères%
   • http://zonedg.com/**********?tq=%chaîne de caractères%
   • http://gravatar.com/**********?gravatar_id=%chaîne de caractères%&tq=%chaîne de caractères%
   • http://nationsautoelectric.com/images/**********?v44=%nombre%&tq=%chaîne de caractères%
   • http://xprstats.com/images/**********?tq=%chaîne de caractères%
   • http://freetopmusiconline.com/blog/images/**********?v67=%nombre%&tq=%chaîne de caractères%
   • http://freetopmusiconline.com/blog/images/**********?v55=%nombre%&tq=%chaîne de caractères%
   • http://freetopmusiconline.com/blog/images/**********?v67=%nombre%&tq=%chaîne de caractères%


Mutex:
Il crée les Mutex suivants:
   • {1ACD3490-8843-47EB-867B-EDDDD7FA37FD}
   • CH5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B16C7E24-B3B8-4962-BF5E-4B33FD2DFE78}
   • {4D92BB9F-9A66-458f-ACA4-66172A7016D4}
   • {45BCA615-C82A-4152-8857-BCC626AE4C8D}
   • {B5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B37C48AF-B05C-4520-8B38-2FE181D5DC78}
   • {35BCA615-C82A-4152-8857-BCC626AE4C8D}
   • {0ECE180F-6E9E-4FA6-A154-6876D9DB8906}
   • {A5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {5D92BB9F-9A66-458f-ACA4-66172A7016D4}
   • {61B98B86-5F44-42b3-BCA1-33904B067B81}
   • CHD92BB9F-9A66-458f-ACA4-66172A7016D4}

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le jeudi 30 juin 2011
Description mise à jour par Petre Galan le jeudi 30 juin 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.