Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Gamier.A
La date de la découverte:30/08/2012
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:2.042.368 Octets
Somme de contrôle MD5:047ebad5131af79ed7d340293a432ab2
Version VDF:7.11.41.90 - jeudi 30 août 2012
Version IVDF:7.11.41.90 - jeudi 30 août 2012

 Général Méthodes de propagation:
   • Email


Plateformes / Systèmes d'exploitation:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il emploie son propre moteur de courrier électronique

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\iexplore.exe



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %APPDATA%\libeay32.dll
   • %APPDATA%\ssleay32.dll

– %APPDATA%\Google_Tool_Bar_Notification291.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %APPDATA%\Nota_Fiscal723433485.zip Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe


– Nom de fichier: Noms des fichiers:
   • %APPDATA%\Google_Tool_Bar_Notification291.exe
Le fichier contient malware.

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Setup Windows Media Player"="%APPDATA%\iexplore.exe"

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Setup Windows Media Player"="%APPDATA%\iexplore.exe"

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe


 Informations divers Anti debugging
Il vérifie si un des programmes suivants est en exécution:
   • Regmon
   • Filemon
   • Procmon
   • Wireshark

Recherche la présence d'un débogueur ou d'une machine virtuelle à l'aide de techniques liées au temps.

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Description insérée par Tudor Ciochina le jeudi 30 août 2012
Description mise à jour par Tudor Ciochina le vendredi 31 août 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.