Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Kazy.30847.7
La date de la découverte:14/07/2011
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Version VDF:7.11.11.129 - jeudi 14 juillet 2011
Version IVDF:7.11.11.129 - jeudi 14 juillet 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Jorik.Gbot.czt
   •  TrendMicro: BKDR_CYCBOT.SME3
   •  Microsoft: Backdoor:Win32/Cycbot.B


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\Microsoft\conhost.exe



Le fichier suivant est créé:

– %APPDATA%\Microsoft\stor.cfg

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%APPDATA%\Microsoft\conhost.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:%nombre%"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:00000001

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur un port TCP aléatoire afin de fonctionner comme serveur proxy.


Serveur de contact:
Le suivant:
   • http://**********stats.com/images/logo.png?tq=gF**********


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mardi 1 novembre 2011
Description mise à jour par Andrei Ivanes le vendredi 4 novembre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.