Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Kazy.31315
La date de la découverte:21/09/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:169.472 Octets
Somme de contrôle MD5:677B74E7E99BE83915D17200FF1F97B0
Version VDF:7.11.15.03 - mercredi 21 septembre 2011
Version IVDF:7.11.15.03 - mercredi 21 septembre 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Gbot.aeg
   •  TrendMicro: BKDR_CYCBOT.SMX
   •  Microsoft: Backdoor:Win32/Cycbot.B


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\Microsoft\conhost.exe



Le fichier suivant est créé:

– %APPDATA%\Microsoft\stor.cfg

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%APPDATA%\Microsoft\conhost.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:%nombre%"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur un port TCP aléatoire afin de fonctionner comme serveur proxy.


Serveur de contact:
Le suivant:
   • http://**********stats.com/images/logo.png?tq=gF**********


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mardi 25 octobre 2011
Description mise à jour par Andrei Ivanes le vendredi 28 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.