Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Cycbot.B.735
La date de la découverte:26/11/2010
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:190.976 Octets
Somme de contrôle MD5:035D0EAC0267B776C68157A9F5E06F33
Version VDF:7.10.06.152
Version IVDF:7.10.14.113 - vendredi 26 novembre 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Gbot.hgd
   •  TrendMicro: BKDR_CYCBOT.SMIB
   •  Microsoft: Backdoor:Win32/Cycbot.B


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\csrss.exe



Le fichier suivant est modifié :
   • %APPDATA%\Mozilla\Firefox\Profiles\f81lb9un.default\prefs.js
En conséquence, différents mécanismes de sécurité sont désactivés.



Le fichier suivant est créé:

– %APPDATA%\A896.542 Contient des paramètres employé par le malware

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HCKU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%TEMPDIR%\csrss.exe"



La clé de registre suivante est ajoutée:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000001



La clé de registre suivante est changée:

Il réduit les réglages de sécurité d'Internet Explorer

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%nombre%"

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • Avast
   • Avira
   • Dr.Web
   • Kaspersky
   • McAfee
   • ESET NOD32
   • Norton
   • BitDefender


 Porte dérobée Les ports suivants sont ouverts:

%le fichier exécuté% sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
%le fichier exécuté% sur un port TCP aléatoire afin de fournir de capacités de porte dérobée

 Vol d'informations – Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • .2mdn.; .abmr.; .adtechus.; .aol.; .atdmt.; .atwola.;
      .autodatadirect.; .bing.net; .dartsearch.; .doubleclick.; .ggpht.;
      .google; .ivwbox.; .mapquestapi.; .microsoft.; .opera.; .tacoda.;
      .thawte.; .tlowdb.; .truveo.; .virtualearth.; .wsod.; .yimg.com;
      .ypcdn.; amazon.; aol/search; aolcdn.; aolsvc.; bing.com;
      bing.com/search; blogger; brightcove.com; doubleclick.; ebay.; err069;
      facebook.; flickr; google-analytics.; google.; googlesyndication.;
      googleusercontent.; gstatic.; imdb.; mapq.st; scorecardresearch.com;
      search.aol.; search.yahoo.com/search; searcht2.aol.; start=; start=0;
      suche.aol.; twitter.; wikimedia.; wikipedia.; yahoo.; yahoo.com;
      youtube.; ytimg.
    • Trafic Internet

 Informations divers Accède à des ressources Internet :
   • http://bigbadhead.**********/blog/images/%nombre%.jpg;
      http://crazyleafdesign.**********/blog/images/share/facebook.png;
      http://crazyleafdesign.**********/blog/images/share/stumble.png;
      http://ddossecureonline.**********/blog/images/%nombre%.jpg;
      http://folusho.**********/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg;
      http://freeservermonitorings.**********/blog/images/%nombre%.jpg;
      http://freewhoisdb.**********/blog/images/%nombre%.jpg;
      http://fxsystemsone.**********/blog/images/%nombre%.jpg;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2;
      http://greenherbalteaonline.**********/images/greenherbalteagirlholdingcup250.gif;
      http://healthylifenow.**********/templates/7348/images/header_logo.jpg;
      http://healthylifenow.**********/templates/7349/images/header_logo.jpg;
      http://hlamidioz.**********/blog/images/%nombre%.jpg;
      http://hollandandbarrett.**********/images/footer/account.gif;
      http://hollandandbarrett.**********/images/footer/account.jpg;
      http://itshopsonline.**********/blog/images/%nombre%.jpg;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-1.gif;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-2.gif;
      http://killprocessoffline.**********/blog/images/%nombre%.jpg;
      http://laporoskopia.**********/blog/images/%nombre%.jpg;
      http://myonlinefreelibrarry.**********/blog/images/%nombre%.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_1_.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_2_.jpg;
      http://onlinebizdirectory.**********/images/PowerHideBanner.gif;
      http://onlinebizdirectory.**********/images/PowerShowBanner.gif;
      http://psfk.**********/img/icons/facebook.png;
      http://psfk.**********/img/icons/twitter.png;
      http://realsoftwaredevelopment.**********/WindowsLiveWriter/web-2_0_thumb_1.gif;
      http://repairshampoo.**********/blog/images/%nombre%.jpg;
      http://sambukaclubonline.**********/blog/images/%nombre%.jpg;
      http://securityshllsonline.**********/blog/images/%nombre%.jpg;
      http://sslprogrammingshool.**********/blog/images/%nombre%.jpg;
      http://lostpropaganda.**********/blog/pics/3321.jpg;
      http://lostpropaganda.**********/blog/pics/3322.jpg;
      http://monochrom.**********/polytheism/pictures/TanzenderShiva.jpg

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le jeudi 4 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.