Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Kazy.100147.3
La date de la découverte:16/10/2012
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:308224 Octets
Somme de contrôle MD5:2498cb88ebfdf2f8a19a692948a9c415
Version VDF:7.11.46.82 - mardi 16 octobre 2012
Version IVDF:7.11.46.82 - mardi 16 octobre 2012

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Plateformes / Systèmes d'exploitation:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Peut être utilisé pour exécuter un code malveillant
   • Peut être utilisé par des escrocs ou des logiciels malveillants pour diminuer les paramètres de sécurité
   • Peut servir à modifier des paramètres du système pour ainsi autoriser un comportement de logiciels malveillants ou en augmenter le potentiel.
   • Il crée un fichier malveillant

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\appatch\%chaîne de caractères aléatoire de six digits%.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%chaîne de caractères aléatoire de six digits%.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%chaîne de caractères aléatoire de six digits%.exe"
   • "run"="%WINDIR%\apppatch\%chaîne de caractères aléatoire de six digits%.exe"



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "userinit"="%SYSDIR%\userinit.exe
   La nouvelle valeur:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%chaîne de caractères aléatoire de six digits%.exe,"
   • "System"="%WINDIR%\apppatch\%chaîne de caractères aléatoire de six digits%.exe"

 Porte dérobée Serveur de contact:
Tous les suivants:
   • cih**********.eu
   • nope**********.eu
   • vofo**********.eu
   • qeqi**********.eu
   • foda**********.eu
   • gate**********.eu
   • digi**********.eu
   • lyve**********eu
   • mar**********.eu
   • ryna**********.eu
   • voc**********.eu
   • tucy**********.eu
   • ...


Description insérée par Elias Lan le dimanche 21 octobre 2012
Description mise à jour par Elias Lan le dimanche 21 octobre 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.