Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VBKrypt.dhzd
La date de la dcouverte:09/06/2011
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:536.064 Octets
Somme de contrle MD5:737C8ADD80E92CA17FEEDB27E205189D
Version VDF:7.11.09.124 - jeudi 9 juin 2011
Version IVDF:7.11.09.124 - jeudi 9 juin 2011

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.VBKrypt.dhzd
     Avast: Win32:VB-UXG [Trj]


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Server 2008


Effets secondaires:
   • Arrt les applications de scurit
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %APPDATA%\Adobee\Protect.exe
   • %APPDATA%\%nombre%.exe



Les fichiers suivants sont crs:

%TEMPDIR%\ETpDS.bat Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%APPDATA%\data.dat Ce fichier contient des frappes de touche collects.



Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • REG
Il excute le fichier avec les paramtres suivantes : ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "run32.exe" /t REG_SZ /d "%APPDATA%\Adobee\Protect.exe" /f


Nom de fichier: Noms des fichiers:
   • REG
Il excute le fichier avec les paramtres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f ([32] %SYSDIR%\cmd.exe)


Nom de fichier: Noms des fichiers:
   • REG
Il excute le fichier avec les paramtres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Documents and Settings\User101\Application Data\Adobee\Protect.exe" /t REG_SZ /d "C:\Documents and Settings\User101\Application Data\Adobee\Protect.exe:*:Enabled:Windows Messanger" /f ([33] %SYSDIR%\cmd.exe)


Nom de fichier: Noms des fichiers:
   • REG
Il excute le fichier avec les paramtres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f ([35] %SYSDIR%\cmd.exe)


Nom de fichier: Noms des fichiers:
   • REG
Il excute le fichier avec les paramtres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Documents and Settings\User101\Application Data\3.exe" /t REG_SZ /d "C:\Documents and Settings\User101\Application Data\3.exe:*:Enabled:Windows Messanger" /f ([37] %SYSDIR%\cmd.exe)

 Registre Les cls suivantes sont en permanence ajoutes aux registres, dans une boucle infinie, afin de lancer les processus aprs le redmarrage.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "Win Defender"="%APPDATA%\%nombre%.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win Defender"="%APPDATA%\%nombre%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win Defender"="%APPDATA%\%nombre%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "run32.exe"="%APPDATA%\Adobee\Protect.exe"



Les cls de registre suivantes sont ajoute:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\Adobee\Protect.exe"="%APPDATA%\Adobee\Protect.exe:*:Enabled:Windows Messanger"
   • "%APPDATA%\%nombre%.exe"="%APPDATA%\%nombre%.exe:*:Enabled:Windows Messanger"

 Porte drobe Le port suivant est ouvert:

svchost.exe sur le port UDP 1033


Serveur de contact:
Le suivant:
   • xdanx3.no-ip.**********

En consquence il peut envoyer de l'information et fournir d'accs distance.

Il envoie de l'information au sujet de:
     Information sur le systme d'exploitation Windows


Capacits d'accs distance:
     Oprer un attaque DDoS
     Commence le keylog

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Tous les processus suivants:
   • svchost.exe
   • explorer.exe


 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le mardi 2 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.