Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/IRCBot.AQ
La date de la découverte:30/11/2011
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:422912 Octets
Somme de contrôle MD5:f4888616ec030455b529304453e190a6
Version VDF:7.11.18.139 - mercredi 30 novembre 2011
Version IVDF:7.11.18.139 - mercredi 30 novembre 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.MSIL.Agent.fof
   •  Bitdefender: Trojan.Generic.5717619
   •  Microsoft: VirTool:MSIL/Injector.P
   •  Grisoft: PSW.Generic8.CBQC
   •  Eset: probably a variant of MSIL/Injector.CF trojan
   •  GData: Trojan.Generic.5717619
   •  Norman: Trojan W32/Suspicious_Gen2.LKWMX


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Peut servir à modifier des paramètres du système pour ainsi autoriser un comportement de logiciels malveillants ou en augmenter le potentiel.
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\%12 digit random character string%.exe
   • %APPDATA%\%12 digit random character string%.exe
   • %WINDIR%\install\winup32.exe



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %TEMPDIR%\%le nom de l'ordinateur%.txt
   • %TEMPDIR%\%le nom de l'ordinateur%7
   • %TEMPDIR%\%le nom de l'ordinateur%8



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %APPDATA%\%le nom de l'ordinateur%log.dat

%TEMPDIR%\delete.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Audio HD Driver"="%TEMPDIR%\\%12 digit random character string%.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Audio HD Driver"="%TEMPDIR%\\%12 digit random character string%.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HKLM"="c:\windows\\install\\winup32.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "HKCU"="c:\windows\\install\\winup32.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aifc\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aiff\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asf\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asx\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .au\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .bmp\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .css\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dib\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .doc\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dvr-ms\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .gif\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ico\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .IVF\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jfif\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpe\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpeg\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpg\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m3u\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mid\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .midi\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2v\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpa\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpeg\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpg\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpv2\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .png\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rtf\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .snd\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tif\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tiff\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .txt\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wav\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wax\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wm\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmf\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmv\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmx\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wpl\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wvx\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xml\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xsl\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   • (null)



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {04P34X25-047M-8IOY-5N0F-0UD5J4UX071D}]
   • "StubPath"="c:\windows\\install\\winup32.exe Restart"

– [HKCU\Software\pwNd b1tch]
   • "FirstExecution"="29/02/2012 -- 10:15"
   • "NewIdentification"="pwNd b1tch"
   • (null)

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {04P34X25-047M-8IOY-5N0F-0UD5J4UX071D}]
   • "StubPath"="c:\windows\\install\\winup32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .eml\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mht\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mhtml\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .nws\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .URL\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wdp\OpenWithProgids]
   • (null)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmp\OpenWithProgids]
   • (null)



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=dword:00000001
   La nouvelle valeur:
   • "Hidden"=dword:00000002

 Porte dérobée Serveur de contact:
Le suivant:
   • **********.zapto.org



Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Les informations rassemblées, décrites dans la section

 Informations divers Gestionnaire d’événements:
Il crée les gestionnaires d’événements suivants:
   • ReadProcessMemory
   • WriteProcessMemory
   • SetWindowsHook
   • CreateRemoteThread
   • CopyFile
   • CreateProcess
   • CreateFile
   • GetWindowsDirectory
   • GetSystemDirectory
   • LsaRetrievePrivateData
   • RasDefaultCredentials
   • LookupAccountName
   • CredEnumerate
   • CryptUnprotectData
   • PStoreCreateInstance


Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • pstorec.dll
   • WindowsLive:name
   • rasphone.pbk

Description insérée par Wensin Lee le lundi 2 avril 2012
Description mise à jour par Wensin Lee le lundi 2 avril 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.