Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VB.AHB.1
La date de la découverte:17/08/2011
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:131.584 Octets
Somme de contrôle MD5:FEF26399FD6188C653C8CB6A91FBE5C0
Version VDF:7.11.13.117 - mercredi 17 août 2011
Version IVDF:7.11.13.117 - mercredi 17 août 2011

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Programme de messagerie


Les alias:
   •  Sophos: Troj/Agent-TBW
   •  Microsoft: Trojan:Win32/VB.AHB
   •  AhnLab: Win-Trojan/Seint.131584.D


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chaîne de caractères aléatoire%.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\%chaîne de caractères
      aléatoire%
.exe"="%APPDATA%\%chaîne de caractères
      aléatoire%
.exe:*:Enabled:%chaîne de caractères
      aléatoire%
"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********anto571.dyndns.org
Port: 26745
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Opérer un attaque DDoS
    • Démarrer une routine de propagation

 Porte dérobée Le port suivant est ouvert:

– svchost.exe sur un port UDP aléatoire

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • *1and1.com; *4shared.com; *alertpay.com; *aol.*; *bigstring.*;
      *depositfiles.*; *dotster.com; *dyndns*; *enom.com; *facebook.*;
      *fastmail.*; *fileserv.com; *filesonic.com; *freakshare.com; *gmx.*;
      *godaddy.com; *google.*; *hackforums.*; *hotfile.com; *letitbit.net*;
      *login.live.*; *login.yahoo.*; *mediafire.com; *megaupload.*;
      *members*.iknowthatgirl*; *members.brazzers.com*; *moneybookers.*;
      *moniker.com; *namecheap.com; *netflix.com; *netload.in; *no-ip*;
      *officebanking.cl; *oron.com; *paypal.*; *runescape*;
      *screenname.aol.*; *secure.logmein.*; *sendspace.com;
      *signin.ebay*SignIn; *sms4file.com; *speedyshare.com; *steampowered*;
      *thepiratebay.org; *torrentleech.org; *twitter.com; *uploaded.to;
      *uploading.com; *vip-file.com; *webnames.ru; *what.cd; *youporn.*

– Il capture:
    • Information du compte

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • explorer.exe

L'accès aux sites Web suivants est efficacement bloqué :
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 Informations divers Accède à des ressources Internet :
   • http://api.wipmania.com/

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mercredi 5 octobre 2011
Description mise à jour par Andrei Ilie le jeudi 6 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.