Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Obfuscate.BX.116
La date de la découverte:16/06/2011
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:305.664 Octets
Somme de contrôle MD5:AD95F16360591B4A493BAB90B9DE921B
Version VDF:7.11.09.231 - jeudi 16 juin 2011
Version IVDF:7.11.09.231 - jeudi 16 juin 2011

 Général Les alias:
   •  Microsoft: Worm:Win32/Taterf.D
   •  AhnLab: Dropper/Win32.OnlineGameHack


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\v3avast.exe



Il supprime sa propre copie, exécutée initialement




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • **********.baidukch.com/1hg/ah.rar
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\sosv3.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • **********.baidugcd.com/1hg/ah1.rar
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\v3avie0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • **********.baidugcd.com/1hg/ah1.rar
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\v3avmn0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "V3_reg"="%SYSDIR%\v3avast.exe"
   • "SOS_reg"="%SYSDIR%\sosv3.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="ihfewq.j"

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • avast
   • AVGNT
   • AVP.EXE
   • BitDefender
   • FilMsg
   • HUpdate
   • preupd
   • Twister


 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • explorer.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • ASPack
   • PolyEnE
   • UPX

Description insérée par Andrei Ilie le lundi 26 septembre 2011
Description mise à jour par Andrei Ilie le lundi 26 septembre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.