Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Matsnu.EB.132
La date de la découverte:25/03/2013
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Taille du fichier:137.728 Octets
Somme de contrôle MD5:a6bbd5b917391f42ed804efe85e03a02
Version VDF:7.11.67.14 - lundi 25 mars 2013
Version IVDF:7.11.67.14 - lundi 25 mars 2013

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Bitdefender: Trojan.Generic.KD.912250
   •  AVG: PSW.Generic10.CJIM
   •  Eset: Win32/Trustezeb.C trojan
   •  Norman: W32/Suspicious_Gen4.DEGIN


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %Temp%\%chaîne de caractères aléatoire de 10 digits% .pre
   • C:\run\SAMPLE.EXE
   • %AppData%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="C:\Documents and Settings\\Biluta\\Application Data\\%chaîne de caractères aléatoire%\\%chaîne de caractères aléatoire%.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%Temp%\%chaîne de caractères aléatoire de 10 digits% .pre;"



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000

 L'injection du code viral dans d'autres processus     Tous les processus suivants:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe


Description insérée par Wensin Lee le mercredi 27 mars 2013
Description mise à jour par Wensin Lee le mercredi 27 mars 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.