Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VBKrypt.devc.1
La date de la dcouverte:03/06/2011
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Taille du fichier:49.152 Octets
Somme de contrle MD5:CF2445B2C06AF8757BB5C598F85BB22E
Version VDF:7.11.08.254 - vendredi 3 juin 2011
Version IVDF:7.11.08.254 - vendredi 3 juin 2011

 Gnral Mthode de propagation:
   • Email
   • En consultant des sites Internet contamins


Les alias:
   •  Symantec: W32.SillyIRC
   •  TrendMicro: WORM_NUSUMP.C
     Microsoft: Worm:Win32/Nusump


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Arrt les applications de scurit
   • Il cre des fichiers
   • Il modifie des registres
   • Il emploie son propre moteur de courrier lectronique
   • Il vole de l'information
   • Il emploie les vulnrabilits de software

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

%SYSDIR%\wbem\Logs\wbemprox.log Contient des paramtres employ par le malware

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {254F4E25-A65F-2764-0003-070806050704}]
   • "StubPath"="%TEMPDIR%\%chane de caractres alatoire%.exe"

 Arrt de processus: La liste des processus qui sont termins:
   • AvastSvc.exe
   • avgcsrvx.exe
   • avguard.exe
   • avgupd.exe
   • avp.exe
   • ccSvcHst.exe
   • ekrn.exe
   • mcupdate.exe
   • update.exe


 Porte drobe Serveur de contact:
Le suivant:
   • 200.58.119.**********:443

En consquence il peut envoyer de l'information et fournir d'accs distance.

Il envoie de l'information au sujet de:
     Information sur le systme d'exploitation Windows


Capacits d'accs distance:
     Envoyer des e-mails
     Terminer un processus
     Visiter un site web

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus :
   • explorer.exe

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Informations divers Chane de caractres:
Ensuite il contient les chanes de caractres suivantes:
   • select * from moz_logins
   • \Mozilla\Firefox\

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le mercredi 3 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.