Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Bot.145845
La date de la découverte:10/11/2011
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:73.728 Octets
Somme de contrôle MD5:EE2DC1DC7CCA53CE57015D6564DA2243
Version VDF:7.11.17.126 - jeudi 10 novembre 2011
Version IVDF:7.11.17.126 - jeudi 10 novembre 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.vjh
   •  Sophos: W32/Slenfbot-AG
   •  Bitdefender: Backdoor.Bot.145845
   •  Microsoft: Trojan:Win32/Dooxud.A
   •  Eset: Win32/Injector.KTS
   •  DrWeb: BackDoor.IRC.Bot.166


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\Application Data\%chaîne de caractères aléatoire%.exe



Le fichier suivant est créé:

%TEMPDIR%\google_cachepages2.tmp Ceci est un fichier texte non malveillant avec le contenu suivant:
   • website=1




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • count.lo**********.com/xmyms.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

– L'emplacement est le suivant:
   • coun**********.com/xms0481.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.lo**********.com/x200.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.lo**********.com/x201.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.lo**********.com/x202.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.lo**********.com/x203.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.ah**********.net/xmyms.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.ah**********.net/xms0481.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.ah**********.net/x200.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.ah**********.net/x201.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.ah**********.net/x202.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Offend.kdv.404824.6


– L'emplacement est le suivant:
   • count.ah**********.net/x203.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.sy**********.us/xmyms.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.sy**********.us/xms0481.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.sy**********.us/x200.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.sy**********.us/x201.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.sy**********.us/x202.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

– L'emplacement est le suivant:
   • count.sy**********.us/x203.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\Local Settings\Application Data\%chaîne de caractères aléatoire de sept digits%.exe

 Registre La clé de registre suivante est ajoutée:

– HKCU\SessionInformation
   • "24hrs"=dword:4ddba780



La clé de registre suivante est changée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   La nouvelle valeur:
   • "userinit"= %SYSDIR%\userinit.exe,%le dossier d'exécution du malware%\%le fichier exécuté%.exe -init
     "Taskman" = %HOME%\\Application Data\\%chaîne de caractères aléatoire%.exe -tman

 Porte dérobée Le port suivant est ouvert:

– iexplore.exe sur le port TCP afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • check**********.net

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Visiter un site web

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • iexplorer.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • t2fyowming

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Ana Maria Niculescu le mardi 15 novembre 2011
Description mise à jour par Ana Maria Niculescu le mardi 15 novembre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.