Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Kazy.15063.2
La date de la découverte:10/03/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:168.448 Octets
Somme de contrôle MD5:CAA13B954C5EE65AB5F6567F7AADE746
Version VDF:7.10.09.149
Version IVDF:7.11.04.163 - jeudi 10 mars 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Gbot.aeg
   •  TrendMicro: BKDR_CYCBOT.SMX
   •  Microsoft: Backdoor:Win32/Cycbot.B


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\Microsoft\conhost.exe



Le fichier suivant est créé:

– %APPDATA%\Microsoft\stor.cfg

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%APPDATA%\Microsoft\conhost.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:50370"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur le port TCP 50370 afin de fonctionner comme serveur proxy.


Serveur de contact:
Tous les suivants:
   • **********andandbarrett.com/images/footer/account.gif?v59=39&tq=gH**********
   • **********etf.com/index.html?tq=gK**********


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le lundi 24 octobre 2011
Description mise à jour par Andrei Ivanes le vendredi 28 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.