Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Drop.TDss.akfb
La date de la découverte:22/04/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Taille du fichier:58.888 Octets
Somme de contrôle MD5:60184EE7316CFC9F734CF9713FD76361
Version VDF:7.11.06.232 - vendredi 22 avril 2011
Version IVDF:7.11.06.232 - vendredi 22 avril 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique
   • Mapped network drives


Les alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Trojan-Dropper.Win32.TDSS.akfb
   •  TrendMicro: TROJ_KRYPTO.SMII
   •  Microsoft: Worm:Win32/Rorpian


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%TEMPDIR%\srv%numéro hexadécimal%.tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.TDss.akfb

%TEMPDIR%\srv%numéro hexadécimal%.ini Contient des paramètres employé par le malware



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://web-soft2011pc.**********/soft/installer_m_161.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\%nombre%.tmp Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\
   srv%numéro hexadécimal%]
   • "Type"=dword:00000014
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "DisplayName"="srv%numéro hexadécimal%"
   • "ObjectName"="LocalSystem"



La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\ControlSet001\Services\
   srv%numéro hexadécimal%\parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\Documents and Settings\%le nom d'utilisateur courant%\Local Settings\Temp\srv%numéro hexadécimal%.tmp"

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le mercredi 3 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.