Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VB.Inject.GM.34
La date de la dcouverte:02/07/2011
Type:Cheval de Troie
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:167.936 Octets
Somme de contrle MD5:57D608B6363C5DF81956AB2980AA6B8D
Version VDF:7.11.10.198 - samedi 2 juillet 2011
Version IVDF:7.11.10.198 - samedi 2 juillet 2011

 Gnral Mthodes de propagation:
    Fonctionnalit d'excution automatique
    Programme de messagerie


Les alias:
   •  TrendMicro: TROJ_MANGER.GER
   •  Sophos: Mal/Mdrop-HP
     Microsoft: VirTool:Win32/VBInject.GM


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il cre des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chane de caractres alatoire%.exe"

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

Windows Live Messenger

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: **********.yakizzy.com
Port: 7654
Pseudonyme: %chane de caractres alatoire%

Serveur: **********.oyoba.com
Port: 7654
Pseudonyme: %chane de caractres alatoire%

Serveur: **********.divalium.com
Port: 7654
Pseudonyme: %chane de caractres alatoire%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     se dconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Oprer un attaque DDoS
     Dmarrer une routine de propagation

 Porte drobe Le port suivant est ouvert:

svchost.exe sur un port UDP alatoire

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe tap dans les champs 'insrer le mot de passe'

Une routine de journalisation est commenc aprs qu'un des sites web suivants soit visit:
   • *1and1.com; *4shared.com; *alertpay.com; *aol.*; *bigstring.*;
      *depositfiles.*; *dotster.com; *dyndns*; *enom.com; *facebook.*;
      *fastmail.*; *fileserv.com; *filesonic.com; *freakshare.com; *gmx.*;
      *godaddy.com; *google.*; *hackforums.*; *hotfile.com; *letitbit.net*;
      *login.live.*; *login.yahoo.*; *mediafire.com; *megaupload.*;
      *members*.iknowthatgirl*; *members.brazzers.com*; *moneybookers.*;
      *moniker.com; *namecheap.com; *netflix.com; *netload.in; *no-ip*;
      *officebanking.cl; *oron.com; *paypal.*; *runescape*;
      *screenname.aol.*; *secure.logmein.*; *sendspace.com;
      *signin.ebay*SignIn; *sms4file.com; *speedyshare.com; *steampowered*;
      *thepiratebay.org; *torrentleech.org; *twitter.com; *uploaded.to;
      *uploading.com; *vip-file.com; *webnames.ru; *what.cd; *youporn.*

 Il capture:
     Information du compte

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus:
   • explorer.exe

L'accs aux sites Web suivants est efficacement bloqu :
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 Informations divers Accde des ressources Internet:
   • http://api.wipmania.com/

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le jeudi 29 septembre 2011
Description mise à jour par Andrei Ilie le vendredi 30 septembre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.