Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Skelf.A
La date de la dcouverte:17/05/2012
Type:Cheval de Troie
En circulation:Non
Infections signales Moyen lev
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:34.477 Octets
Somme de contrle MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Version VDF:7.11.30.90 - jeudi 17 mai 2012
Version IVDF:7.11.30.90 - jeudi 17 mai 2012

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Eset: Win32/Trustezeb.B
     DrWeb: Trojan.Winlock.5908


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il diminue les rglages de scurit
   • Il modifie des registres


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\%chane de caractres alatoire%.pre
   • %SYSDIR%\%chane de caractres alatoire% .exe
   • %APPDATA%\%chane de caractres alatoire%\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %chane de caractres alatoire% = %APPDATA%\%chane de caractres alatoire%\%chane de caractres alatoire%.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%chane de caractres alatoire%.exe,"



La cl de registre suivante, y compris toutes les valeurs et les sous-cls, est enleve.
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Les cls de registre suivantes sont ajoute:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%chane de caractres alatoire%.EXE"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%chane de caractres alatoire%.EXE"



Les cls de registre suivantes sont changes:

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus:
   • %SYSDIR%\ctfmon.exe

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX


Chiffrement:
Crypt Le code du virus l'intrieur du fichier contamin est crypt.

Description insérée par Ana Maria Niculescu le jeudi 17 mai 2012
Description mise à jour par Andrei Gherman le jeudi 17 mai 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.