Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Obisty.A
La date de la découverte:19/12/2012
Type:Cheval de Troie
En circulation:Non
Infections signalées Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:148.992 Octets
Somme de contrôle MD5:89FA070B12AEE94C97F15AFBC8404E00
Version VDF:7.11.54.86 - mercredi 19 décembre 2012
Version IVDF:7.11.54.86 - mercredi 19 décembre 2012

 Général Méthode de propagation:
   • En consultant des sites Internet contaminés

Détection similaires:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\KB%chaîne de caractères aléatoire de huit digits%.exe



Le fichier suivant est créé:

%TEMPDIR%\exp3.tmp.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%chaîne de caractères aléatoire de huit digits% .exe

 Porte dérobée Serveur de contact:
Un des suivants::
   • http://84.22.100.108:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://182.237.17.180:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://123.49.61.59:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://204.15.30.202:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://64.76.19.236:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://59.90.221.6:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://210.56.23.100:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://94.73.129.120:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://174.143.174.136:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://203.217.147.52:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://74.207.237.170:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://23.29.73.220:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://69.64.89.82:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://74.63.229.10:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://74.86.113.66:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://174.121.188.156:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://50.22.94.96:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://173.203.102.204:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://74.117.107.25:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://174.142.68.239:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://188.212.156.170:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://188.120.226.30:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://78.28.120.32:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://217.65.100.41:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://81.93.250.157:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%
   • http://188.40.109.204:8080/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%/%chaîne de caractères aléatoire%

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil.

Il est injecté à tous les processus.


 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Liviu Serban le mercredi 19 décembre 2012
Description mise à jour par Andrei Gherman le mercredi 19 décembre 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.