Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VB.aga.167
La date de la découverte:21/06/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:47.104 Octets
Somme de contrôle MD5:45bcbb56dcfb68200719163a933c4f6c
Version VDF:7.11.10.61 - mardi 21 juin 2011
Version IVDF:7.11.10.61 - mardi 21 juin 2011

 Général Les alias:
   •  Kaspersky: Backdoor.Win32.VB.nmc
   •  Bitdefender: Backdoor.Generic.634112
   •  GData: Backdoor.Generic.634112


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
      •  CVE-2007-1204
      •  MS07-019

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\2ubrc.exe



Il écrase un fichier.
%SYSDIR%\drivers\etc\hosts



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %TEMPDIR%\mdinstall.inf



Les fichiers suivants sont créés:

%TEMPDIR%\mdinstall.inf
%TEMPDIR%\MouseDriver.bat
%SYSDIR%\pdpv99.log
%TEMPDIR%\iaohblsg.bat



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • net.exe stop "Security Center"


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\2ubrc.exe -d6D7EB75D9C5B904FF8096542E0A41712AD38B1C10062EB22D4B88EF8B3653850007C160B3A4688D69EEACE6196A82B03CF0C2AC2F853DD81734A54287906A3D186CF29860B03F61AB0F184C3B04B23291720C08CEA5BF2F278CA781072868600762191832C32843432F47B2C5B9877221BA6B380114A


– Nom de fichier: Noms des fichiers:
   • "%SYSDIR%\grpconv.exe" -o


– Nom de fichier: Noms des fichiers:
   • sc config wscsvc start= DISABLED


– Nom de fichier: Noms des fichiers:
   • net.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"


– Nom de fichier: Noms des fichiers:
   • sc config SharedAccess start= DISABLED


– Nom de fichier: Noms des fichiers:
   • net1 stop "Security Center"


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\2ubrc.exe


– Nom de fichier: Noms des fichiers:
   • net1 stop "Windows Firewall/Internet Connection Sharing (ICS)"


– Nom de fichier: Noms des fichiers:
   • Rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %TEMPDIR%\mdinstall.inf


– Nom de fichier: Noms des fichiers:
   • cmd /c %TEMPDIR%\iaohblsg.bat

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "wa59"="%TEMPDIR%\2ubrc.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "GrpConv"=""



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\GrpConv]
   La nouvelle valeur:
   • "Log"="Uninit Application."

– [HKLM\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command]
   La nouvelle valeur:
   • "@"="%SYSDIR%\grpconv.exe %1"

– [HKLM\SOFTWARE\Classes\MSProgramGroup]
   La nouvelle valeur:
   • "@"="Microsoft Program Group"

– [HKLM\SOFTWARE\Classes\.grp]
   La nouvelle valeur:
   • "@"="MSProgramGroup"

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès au lien URL suivant est redirigé vers une autre destination :
   • 127.0.0.1 localhost


 Porte dérobée Serveur de contact:
Le suivant:
   • http://w.nucleardiscover.com:888/**********?c=%chaîne de caractères%&v=%nombre%&t=%chaîne de caractères%


 Informations divers Mutex:
Il crée les Mutex suivants:
   • 2ubrc.exewa59dmode
   • 2ubrc.exewa59

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 13 juillet 2011
Description mise à jour par Petre Galan le mercredi 13 juillet 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.