Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Cycbot.BP
La date de la découverte:12/07/2011
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:188.928 Octets
Somme de contrôle MD5:29264048c8ff1f81fa76275f49098526
Version VDF:7.11.11.93 - mardi 12 juillet 2011
Version IVDF:7.11.11.93 - mardi 12 juillet 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Gbot.mej
   •  Sophos: Troj/FakeAV-EFL
   •  Bitdefender: Gen:Variant.Kazy.30647
   •  Eset: Win32/Kryptik.QGL
   •  DrWeb: Trojan.DownLoader4.11080


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\csrss.exe



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %TEMPDIR%\41.exe
   • %TEMPDIR%\42.exe



Les fichiers suivants sont créés:

– %HOME%\Application Data\ADC6.442
%TEMPDIR%\41.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Cycbot.BP

– %HOME%\Application Data\Microsoft\conhost.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Cycbot.BP

%TEMPDIR%\42.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Cycbot.BP

– %HOME%\Application Data\dwm.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Cycbot.BP

– %HOME%\Application Data\Microsoft\gb_12797937.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Load"="C:\DOCUME~1\\KARZEM~1\\LOCALS~1\\Temp\\csrss.exe"

 Porte dérobée Le port suivant est ouvert:
sur le port TCP 1192 afin de fournir de capacités de porte dérobée

 Informations divers Accède à des ressources Internet :
   • http://hollan**********rett.com/images/footer/account.jpg?v20=**********F4%3D;
      http://super**********srem.com/blog/images/3521.jpg?v92=**********WW1cg;
      http://onlinedating**********friends.com/images/im133.jpg?v95=**********3D%3D;
      http://mysmall**********space.com/blog/images/3521.jpg?v88=**********WW1cg;
      http://nations**********electric.com/images/50-217-1_F_1_.jpg?v81=**********w%3D;
      http://mysmall**********space.com/blog/images/3521.jpg?v22=**********3D%3D;
      http://xp**********stats.com/images/logo.png?tq=**********jg%3D;
      http://super**********srem.com/blog/images/3521.jpg?v67=**********3D%3D;
      http://super**********srem.com/blog/images/3521.jpg?tq=**********WQ%3D

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Jason Soo le jeudi 14 juillet 2011
Description mise à jour par Jason Soo le jeudi 14 juillet 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.