Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Pushbot.C.46
La date de la découverte:25/07/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:38.400 Octets
Somme de contrôle MD5:BBDB5B9C0BBE5C73F657E3934C3FCE89
Version VDF:7.11.12.87 - lundi 25 juillet 2011
Version IVDF:7.11.12.87 - lundi 25 juillet 2011

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Programme de messagerie


Les alias:
   •  Kaspersky: IM-Worm.Win32.Zeroll.g
   •  Bitdefender: Trojan.FakeAlert.CNB
   •  AhnLab: Win32/Pushbot.worm.38400


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\HEX-5823-6893-6818\jutched.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java Update Manager"="%APPDATA%\HEX-5823-6893-6818\jutched.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\HEX-5823-6893-6818\jutched.exe"="%APPDATA%\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java
      Update Manager"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– Windows Live Messenger

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********solution.nicaze.net
Port: 1866
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Les mots de passe en antémémoire:


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Opérer un attaque DDoS
    • Envoyer des e-mails
    • Démarrer une routine de propagation
    • Se mettre à jour tout seul

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Chiffrement :
Crypté – Le code du virus à l'intérieur du fichier contaminé est crypté.

Description insérée par Andrei Ilie le lundi 3 octobre 2011
Description mise à jour par Andrei Ilie le mardi 4 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.