Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Skelf.A
La date de la découverte:17/05/2012
Type:Cheval de Troie
En circulation:Non
Infections signalées Moyen à élevé
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:34.477 Octets
Somme de contrôle MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Version VDF:7.11.30.90 - jeudi 17 mai 2012
Version IVDF:7.11.30.90 - jeudi 17 mai 2012

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Eset: Win32/Trustezeb.B
   •  DrWeb: Trojan.Winlock.5908


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\%chaîne de caractères aléatoire%.pre
   • %SYSDIR%\%chaîne de caractères aléatoire% .exe
   • %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %chaîne de caractères aléatoire% = %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%chaîne de caractères aléatoire%.exe,"



La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%chaîne de caractères aléatoire%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%chaîne de caractères aléatoire%.EXE"



Les clés de registre suivantes sont changées:

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • %SYSDIR%\ctfmon.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX


Chiffrement :
Crypté – Le code du virus à l'intérieur du fichier contaminé est crypté.

Description insérée par Ana Maria Niculescu le jeudi 17 mai 2012
Description mise à jour par Andrei Gherman le jeudi 17 mai 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.