Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Ganelp.abu
La date de la découverte:22/09/2011
Type:Ver
En circulation:Non
Infections signalées Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Non
Version VDF:7.11.15.08 - jeudi 22 septembre 2011
Version IVDF:7.11.15.08 - jeudi 22 septembre 2011

 Général Les alias:
   •  TrendMicro: WORM_GANELP.SMIA
   •  Microsoft: Worm:Win32/Ganelp.gen!A
   •  Sunbelt: Worm.Win32.Ganelp.b
   •  Authentium: W32/Agent.KI.gen!Eldorado
   •  DrWeb: Trojan.Proxy.19660
   •  Norman: Worm W32/Ganelp.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\846c0ca6\jusched.exe



Le fichier suivant est créé:

%WINDIR%\Tasks\Update23.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.

 Registre Les valeurs des clés de registre suivantes sont supprimées:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%PROGRAM FILES%\J8"
   • "%PROGRAM FILES%\J9"
   • "%PROGRAM FILES%\J10"
   • "%PROGRAM FILES%\J11"
   • "%PROGRAM FILES%\J12"
   • "%PROGRAM FILES%\J13"
   • "%PROGRAM FILES%\J14"
   • "%PROGRAM FILES%\J15"
   • "%PROGRAM FILES%\J16"
   • "%PROGRAM FILES%\J17"
   • "%PROGRAM FILES%\J18"
   • "%PROGRAM FILES%\J19"
   • "%PROGRAM FILES%\J20"
   • "%PROGRAM FILES%\J21"

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%PROGRAM FILES%\J8"
   • "%PROGRAM FILES%\J9"
   • "%PROGRAM FILES%\J10"
   • "%PROGRAM FILES%\J11"
   • "%PROGRAM FILES%\J12"
   • "%PROGRAM FILES%\J13"
   • "%PROGRAM FILES%\J14"
   • "%PROGRAM FILES%\J15"
   • "%PROGRAM FILES%\J16"
   • "%PROGRAM FILES%\J17"
   • "%PROGRAM FILES%\J18"
   • "%PROGRAM FILES%\J19"
   • "%PROGRAM FILES%\J20"
   • "%PROGRAM FILES%\J21"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\846c0ca6\jusched.exe"="%PROGRAM
      FILES%\846c0ca6\jusched.exe"



Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   La nouvelle valeur:
   • "ProxyByPass"=dword:00000001
   • "IntranetName"=dword:00000001
   • "UNCAsIntranet"=dword:00000001

 Porte dérobée Serveur de contact:
Un des suivants::
   • ftp://ftp.byethost12.com
   • ftp://griptoloji.host-ed.net
   • ftp://ftp.tripod.com

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Information sur le système d'exploitation Windows

Description insérée par Andrei Ivanes le mardi 24 janvier 2012
Description mise à jour par Andrei Ivanes le mardi 24 janvier 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.