Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Obfuscate.BX.116
La date de la dcouverte:16/06/2011
Type:Cheval de Troie
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:305.664 Octets
Somme de contrle MD5:AD95F16360591B4A493BAB90B9DE921B
Version VDF:7.11.09.231 - jeudi 16 juin 2011
Version IVDF:7.11.09.231 - jeudi 16 juin 2011

 Gnral Les alias:
     Microsoft: Worm:Win32/Taterf.D
AhnLab: Dropper/Win32.OnlineGameHack


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\v3avast.exe



Il supprime sa propre copie, excute initialement




Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • **********.baidukch.com/1hg/ah.rar
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\sosv3.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

L'emplacement est le suivant:
   • **********.baidugcd.com/1hg/ah1.rar
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\v3avie0.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

L'emplacement est le suivant:
   • **********.baidugcd.com/1hg/ah1.rar
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\v3avmn0.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "V3_reg"="%SYSDIR%\v3avast.exe"
   • "SOS_reg"="%SYSDIR%\sosv3.exe"



La cl de registre suivante est ajoute:

[HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="ihfewq.j"

 Arrt de processus: Les processus avec une des chanes de caractres suivantes sont termins:
   • avast
   • AVGNT
   • AVP.EXE
   • BitDefender
   • FilMsg
   • HUpdate
   • preupd
   • Twister


 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • explorer.exe

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec les logiciels de compression des excutables suivants:
   • ASPack
   • PolyEnE
   • UPX

Description insérée par Andrei Ilie le lundi 26 septembre 2011
Description mise à jour par Andrei Ilie le lundi 26 septembre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.