Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Agent.58368.3
La date de la dcouverte:30/08/2012
Type:Serveur porte drobe
En circulation:Non
Infections signales lev
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:58.368 Octets
Somme de contrle MD5:3CCFB3CA8C0AAAA4E93856BC79570106
Version VDF:7.11.41.90 - jeudi 30 août 2012
Version IVDF:7.11.41.90 - jeudi 30 août 2012

 Gnral Mthode de propagation:
   • Email


L'alias:
     Microsoft: Win32/Gamarue.I


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il cre sa propre copie en employant un nom de fichier des listes:
A: C:\Documents and Settings\All Users employant un des noms suivants:
   • svchost.exe

A: %ALLUSERSPROFILE%\Local Settings\Temp employant un des noms suivants:
   • %chane de caractres alatoire%.bat
   • %chane de caractres alatoire%.pif
   • %chane de caractres alatoire%.scr
   • %chane de caractres alatoire%.com


 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chane de caractres alatoire%.pif"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chane de caractres alatoire%.bat"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chane de caractres alatoire%.scr"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nombre%"="%ALLUSERSPROFILE%\Local Settings\Temp\%chane de caractres alatoire%.com"

 Email Il n'a pas sa propre routine de propagation mais il a t envoy comme spam par l'intermdiaire de l'email. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
L'expditeur de cet e-mail est ce qui suit:
   • notification+aaic-mm-nir_@facebookmail.com


Sujet:
Le suivant:
   • Your friend wants to share photos and updates with you



Corps:
– Il contient du code HTML
Le corps de l'email est le suivant:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Pice jointe:
Le nom de fichier de l'attachement est:
   • Your_Friend_New_photos-updates_id%nombre%.zip

La pice jointe est une archive contenant une copie du virus



L'email ressemble celui-ci:


 Porte drobe Le port suivant est ouvert:

%ALLUSERSPROFILE%\svchost.exe sur le port TCP 8000 afin d'offrir accs la ligne de commande.


Serveur de contact:
Le suivant:
   • http://stripe**********image.php

Aussi tt que la connexion est tabli, une liste complmentaire avec des Server se trouve.
En consquence il peut envoyer de l'information et fournir d'accs distance.

Il envoie de l'information au sujet de:
     Le statut courant du malware
     Nom d'utilisateur

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • %SYSDIR%\wuauclt.exe


 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Chiffrement:
Crypt Le code du virus l'intrieur du fichier contamin est crypt.

Description insérée par Ana Maria Niculescu le jeudi 30 août 2012
Description mise à jour par Andrei Gherman le jeudi 30 août 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.