Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Agent.58368.3
La date de la découverte:30/08/2012
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Élevé
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:58.368 Octets
Somme de contrôle MD5:3CCFB3CA8C0AAAA4E93856BC79570106
Version VDF:7.11.41.90 - jeudi 30 août 2012
Version IVDF:7.11.41.90 - jeudi 30 août 2012

 Général Méthode de propagation:
   • Email


L'alias:
   •  Microsoft: Win32/Gamarue.I


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il crée sa propre copie en employant un nom de fichier des listes:
– A: C:\Documents and Settings\All Users employant un des noms suivants:
   • svchost.exe

– A: %ALLUSERSPROFILE%\Local Settings\Temp employant un des noms suivants:
   • %chaîne de caractères aléatoire%.bat
   • %chaîne de caractères aléatoire%.pif
   • %chaîne de caractères aléatoire%.scr
   • %chaîne de caractères aléatoire%.com


 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chaîne de caractères aléatoire%.pif"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chaîne de caractères aléatoire%.bat"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chaîne de caractères aléatoire%.scr"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chaîne de caractères aléatoire%.com"

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est ce qui suit:
   • notification+aaic-mm-nir_@facebookmail.com


Sujet:
Le suivant:
   • Your friend wants to share photos and updates with you



Corps:
– Il contient du code HTML
Le corps de l'email est le suivant:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Pièce jointe:
Le nom de fichier de l'attachement est:
   • Your_Friend_New_photos-updates_id%nombre%.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Porte dérobée Le port suivant est ouvert:

– %ALLUSERSPROFILE%\svchost.exe sur le port TCP 8000 afin d'offrir accès à la ligne de commande.


Serveur de contact:
Le suivant:
   • http://stripe**********image.php

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.
En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Nom d'utilisateur

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • %SYSDIR%\wuauclt.exe


 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Chiffrement :
Crypté – Le code du virus à l'intérieur du fichier contaminé est crypté.

Description insérée par Ana Maria Niculescu le jeudi 30 août 2012
Description mise à jour par Andrei Gherman le jeudi 30 août 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.