Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VBKrypt.dhzd
La date de la découverte:09/06/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:536.064 Octets
Somme de contrôle MD5:737C8ADD80E92CA17FEEDB27E205189D
Version VDF:7.11.09.124 - jeudi 9 juin 2011
Version IVDF:7.11.09.124 - jeudi 9 juin 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.VBKrypt.dhzd
   •  Avast: Win32:VB-UXG [Trj]


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Server 2008


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %APPDATA%\Adobee\Protect.exe
   • %APPDATA%\%nombre%.exe



Les fichiers suivants sont créés:

%TEMPDIR%\ETpDS.bat Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %APPDATA%\data.dat Ce fichier contient des frappes de touche collectés.



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • REG
Il exécute le fichier avec les paramètres suivantes : ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "run32.exe" /t REG_SZ /d "%APPDATA%\Adobee\Protect.exe" /f


– Nom de fichier: Noms des fichiers:
   • REG
Il exécute le fichier avec les paramètres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f ([32] %SYSDIR%\cmd.exe)


– Nom de fichier: Noms des fichiers:
   • REG
Il exécute le fichier avec les paramètres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Documents and Settings\User101\Application Data\Adobee\Protect.exe" /t REG_SZ /d "C:\Documents and Settings\User101\Application Data\Adobee\Protect.exe:*:Enabled:Windows Messanger" /f ([33] %SYSDIR%\cmd.exe)


– Nom de fichier: Noms des fichiers:
   • REG
Il exécute le fichier avec les paramètres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f ([35] %SYSDIR%\cmd.exe)


– Nom de fichier: Noms des fichiers:
   • REG
Il exécute le fichier avec les paramètres suivantes : ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Documents and Settings\User101\Application Data\3.exe" /t REG_SZ /d "C:\Documents and Settings\User101\Application Data\3.exe:*:Enabled:Windows Messanger" /f ([37] %SYSDIR%\cmd.exe)

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "Win Defender"="%APPDATA%\%nombre%.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win Defender"="%APPDATA%\%nombre%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win Defender"="%APPDATA%\%nombre%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "run32.exe"="%APPDATA%\Adobee\Protect.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\Adobee\Protect.exe"="%APPDATA%\Adobee\Protect.exe:*:Enabled:Windows Messanger"
   • "%APPDATA%\%nombre%.exe"="%APPDATA%\%nombre%.exe:*:Enabled:Windows Messanger"

 Porte dérobée Le port suivant est ouvert:

– svchost.exe sur le port UDP 1033


Serveur de contact:
Le suivant:
   • xdanx3.no-ip.**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Opérer un attaque DDoS
    • Commence le keylog

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Tous les processus suivants:
   • svchost.exe
   • explorer.exe


 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le mardi 2 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.