Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Drop.Injector.etcf
La date de la découverte:26/04/2012
Type:Cheval de Troie
Sous type:Dropper
En circulation:Non
Infections signalées Élevé
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:61.440 Octets
Somme de contrôle MD5:dd8c3d5370438068e8ff61391d801e7b
Version VDF:7.11.28.178 - jeudi 26 avril 2012
Version IVDF:7.11.28.178 - jeudi 26 avril 2012

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %APPDATA%\Bsnoijhcbqe\E58BA09AD8812EB1728E.exe
   • %TEMP%\%chaîne de caractères aléatoire de 10 digits% .pre
   • %SYSDIR%\7B128C17D8812EB16B33.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%chaîne de caractères aléatoire de 10 digits% .pre;"

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • http://**********-a.com/**********.php?id=**********564549&cmd=img
   • http://**********-a.com/**********.php?id=**********564549&cmd=lfk&data=**********k0wIYg6TtL2zhzZ
   • http://**********-a.com/**********.php?id=**********564549&stat=0


Gestionnaire d’événements:
Il crée les gestionnaires d’événements suivants:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Wensin Lee le vendredi 27 avril 2012
Description mise à jour par Wensin Lee le vendredi 27 avril 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.