Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Rogue.kdv.640189
La date de la découverte:03/07/2012
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Taille du fichier:94.720 Octets
Somme de contrôle MD5:C142F7941922369C46E948FF508F67CE
Version VDF:7.11.34.246 - mardi 3 juillet 2012
Version IVDF:7.11.34.246 - mardi 3 juillet 2012

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


L'alias:
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
   •  Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
   •  DrWeb: Trojan.DownLoader6.13798


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\KB00027502.exe

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%TEMPDIR%\POS1.tmp Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
– [HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Porte dérobée Serveur de contact:
Un des suivants::
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • %WINDIR%\Explorer.EXE


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Daniel Mocanu le mercredi 8 août 2012
Description mise à jour par Daniel Mocanu le mercredi 8 août 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.