Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Ganelp.abu
La date de la dcouverte:22/09/2011
Type:Ver
En circulation:Non
Infections signales Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Non
Version VDF:7.11.15.08 - jeudi 22 septembre 2011
Version IVDF:7.11.15.08 - jeudi 22 septembre 2011

 Gnral Les alias:
   •  TrendMicro: WORM_GANELP.SMIA
     Microsoft: Worm:Win32/Ganelp.gen!A
     Sunbelt: Worm.Win32.Ganelp.b
     Authentium: W32/Agent.KI.gen!Eldorado
     DrWeb: Trojan.Proxy.19660
     Norman: Worm W32/Ganelp.A


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il cre un fichier
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\846c0ca6\jusched.exe



Le fichier suivant est cr:

%WINDIR%\Tasks\Update23.job Le fichier est une application planifie laquelle effectue le Malware avec un date prdfinie.

 Registre Les valeurs des cls de registre suivantes sont supprimes:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%PROGRAM FILES%\J8"
   • "%PROGRAM FILES%\J9"
   • "%PROGRAM FILES%\J10"
   • "%PROGRAM FILES%\J11"
   • "%PROGRAM FILES%\J12"
   • "%PROGRAM FILES%\J13"
   • "%PROGRAM FILES%\J14"
   • "%PROGRAM FILES%\J15"
   • "%PROGRAM FILES%\J16"
   • "%PROGRAM FILES%\J17"
   • "%PROGRAM FILES%\J18"
   • "%PROGRAM FILES%\J19"
   • "%PROGRAM FILES%\J20"
   • "%PROGRAM FILES%\J21"

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%PROGRAM FILES%\J8"
   • "%PROGRAM FILES%\J9"
   • "%PROGRAM FILES%\J10"
   • "%PROGRAM FILES%\J11"
   • "%PROGRAM FILES%\J12"
   • "%PROGRAM FILES%\J13"
   • "%PROGRAM FILES%\J14"
   • "%PROGRAM FILES%\J15"
   • "%PROGRAM FILES%\J16"
   • "%PROGRAM FILES%\J17"
   • "%PROGRAM FILES%\J18"
   • "%PROGRAM FILES%\J19"
   • "%PROGRAM FILES%\J20"
   • "%PROGRAM FILES%\J21"



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\846c0ca6\jusched.exe"="%PROGRAM
      FILES%\846c0ca6\jusched.exe"



Les cls de registre suivantes sont changes:

Il rduit les rglages de scurit d'Internet Explorer

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   La nouvelle valeur:
   • "ProxyByPass"=dword:00000001
   • "IntranetName"=dword:00000001
   • "UNCAsIntranet"=dword:00000001

 Porte drobe Serveur de contact:
Un des suivants::
   • ftp://ftp.byethost12.com
   • ftp://griptoloji.host-ed.net
   • ftp://ftp.tripod.com

En consquence il peut envoyer de l'information et fournir d'accs distance.

Il envoie de l'information au sujet de:
     Information sur le systme d'exploitation Windows

Description insérée par Andrei Ivanes le mardi 24 janvier 2012
Description mise à jour par Andrei Ivanes le mardi 24 janvier 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.