Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Injector.aqa
La date de la dcouverte:25/05/2012
Type:Cheval de Troie
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Taille du fichier:96768 Octets
Somme de contrle MD5:cbd0278ebe4f2e28c1b242d8ead116c8
Version VDF:7.11.31.00 - vendredi 25 mai 2012
Version IVDF:7.11.31.00 - vendredi 25 mai 2012

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Bitdefender: Trojan.Generic.KD.888042
   •  Eset: Win32/Trustezeb.C trojan
     DrWeb: Trojan.DownLoader8.15433
     Norman: W32/Suspicious_Gen4.CRHPT


Plateformes / Systmes d'exploitation:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %Temp%\%chane de caractres alatoire de 10 digits% .pre



Il supprime sa propre copie, excute initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire% "="%HOME%\%chane de caractres alatoire de 10 digits% \%chane de caractres alatoire de 10 digits% .exe"



Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

[HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   • "Disable Performance Counters"="dword:0x00000001"

[HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   • "Disable Performance Counters"="dword:0x00000001"

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000



Les cls de registre suivantes sont changes:

[HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   L'ancienne valeur:
   • "Error Count"=dword:00000012
   La nouvelle valeur:
   • "Error Count"="dword:0x000003e8"

[HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Performance]
   L'ancienne valeur:
   • "Error Count"=dword:00000012
   La nouvelle valeur:
   • "Error Count"="dword:0x000003e8"

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: svchost.exe

 Informations divers Connexion Internet:
Afin de vrifier sa connexion Internet, les serveurs DNS suivants sont contacts
   • zeo**********-gt.com
   • frankow-plo**********.com

Description insérée par Wensin Lee le vendredi 8 mars 2013
Description mise à jour par Wensin Lee le vendredi 8 mars 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.