Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VB.AHB.1
La date de la dcouverte:17/08/2011
Type:Cheval de Troie
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:131.584 Octets
Somme de contrle MD5:FEF26399FD6188C653C8CB6A91FBE5C0
Version VDF:7.11.13.117 - mercredi 17 août 2011
Version IVDF:7.11.13.117 - mercredi 17 août 2011

 Gnral Mthodes de propagation:
    Fonctionnalit d'excution automatique
    Programme de messagerie


Les alias:
   •  Sophos: Troj/Agent-TBW
     Microsoft: Trojan:Win32/VB.AHB
AhnLab: Win-Trojan/Seint.131584.D


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chane de caractres alatoire%.exe"



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\%chane de caractres
      alatoire%
.exe"="%APPDATA%\%chane de caractres
      alatoire%
.exe:*:Enabled:%chane de caractres
      alatoire%
"

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

Windows Live Messenger

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: **********anto571.dyndns.org
Port: 26745
Pseudonyme: %chane de caractres alatoire%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     se dconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Oprer un attaque DDoS
     Dmarrer une routine de propagation

 Porte drobe Le port suivant est ouvert:

svchost.exe sur un port UDP alatoire

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe tap dans les champs 'insrer le mot de passe'

Une routine de journalisation est commenc aprs qu'un des sites web suivants soit visit:
   • *1and1.com; *4shared.com; *alertpay.com; *aol.*; *bigstring.*;
      *depositfiles.*; *dotster.com; *dyndns*; *enom.com; *facebook.*;
      *fastmail.*; *fileserv.com; *filesonic.com; *freakshare.com; *gmx.*;
      *godaddy.com; *google.*; *hackforums.*; *hotfile.com; *letitbit.net*;
      *login.live.*; *login.yahoo.*; *mediafire.com; *megaupload.*;
      *members*.iknowthatgirl*; *members.brazzers.com*; *moneybookers.*;
      *moniker.com; *namecheap.com; *netflix.com; *netload.in; *no-ip*;
      *officebanking.cl; *oron.com; *paypal.*; *runescape*;
      *screenname.aol.*; *secure.logmein.*; *sendspace.com;
      *signin.ebay*SignIn; *sms4file.com; *speedyshare.com; *steampowered*;
      *thepiratebay.org; *torrentleech.org; *twitter.com; *uploaded.to;
      *uploading.com; *vip-file.com; *webnames.ru; *what.cd; *youporn.*

 Il capture:
     Information du compte

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus:
   • explorer.exe

L'accs aux sites Web suivants est efficacement bloqu :
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 Informations divers Accde des ressources Internet:
   • http://api.wipmania.com/

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le mercredi 5 octobre 2011
Description mise à jour par Andrei Ilie le jeudi 6 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.