Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Predator.B
La date de la découverte:06/06/2011
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:507.904 Octets
Somme de contrôle MD5:549CC0750A13B465875B0FCDDCBA4A65
Version VDF:7.11.09.36 - lundi 6 juin 2011
Version IVDF:7.11.09.36 - lundi 6 juin 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Ainslot.b
   •  Kaspersky: Trojan.MSIL.Crypt.jc
   •  Microsoft: Worm:Win32/Ainslot.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %APPDATA%\Microsoft\Protect\Credentials\xCocaine.txt
   • %APPDATA%\Predator.exe
   • %APPDATA%\Microsoft\Protect\Credentials\rundll.exe



Le fichier suivant est créé:

– %APPDATA%\data.dat Ce fichier contient des frappes de touche collectés.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "rundll.exe"="%APPDATA%\Microsoft\Protect\Credentials\rundll.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\VB and VBA Program Settings\SrvID\ID]
   • "7YHNQKYICA"="Matty's Bot"

– [HKCU\Software\VB and VBA Program Settings\INSTALL\DATE]
   • "7YHNQKYICA"="%la date courante%"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\Predator.exe"="%APPDATA%\Predator.exe:*:Enabled:Windows Messanger"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier exécuté%"="%le fichier exécuté%:*:Enabled:Windows Messanger"

 Porte dérobée Serveur de contact:
Le suivant:
   • hfmatty.no-ip.**********:3333

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Capture d'écran
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Commence le keylog
    • Visiter un site web

 Vol d'informations – Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • facebook.com
   • bankofamerica.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le jeudi 28 juillet 2011
Description mise à jour par Andrei Ilie le jeudi 4 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.