Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Dldr.Agent.17383
Type:Cheval de Troie
Sous type:Downloader
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:102400 Octets
Somme de contrôle MD5:34532a17a64d595a8d139ef5fcb753cf

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Bitdefender: Trojan.Generic.KDV.647838
   •  Eset: Win32/Trustezeb.C trojan
   •  GData: Trojan.Generic.KDV.647838
   •  DrWeb: Trojan.DownLoader6.17383


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %temp%\%chaîne de caractères aléatoire de 10 digits% .pre
   • %appdata%\%chaîne de caractères aléatoire de cinq digits% \%chaîne de caractères aléatoire de 10 digits% .exe



Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%temp%\%chaîne de caractères aléatoire de cinq digits% \%chaîne de caractères aléatoire de huit digits% .exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%chaîne de caractères aléatoire de 10 digits% .pre"



La valeur de la clé de registre suivante est supprimée:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="cmd.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

 Informations divers Accède à des ressources Internet :
   • http://**********-shops.com/forum/**********.php?id=**********E45544E45&cmd=pcc&win=Windows_XP&loc=0x0809&ver=2.000.11
   • http://**********-shops.com/forum/**********.php?id=**********45544E45&cmd=lfk&ldn=31&stat=CRA&ver=2.000.11&data=**********L86tkrTFDMEt9Cgt8DREw==

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Wensin Lee le mercredi 13 juin 2012
Description mise à jour par Wensin Lee le mercredi 13 juin 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.