Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Staser.rfm
La date de la découverte:16/09/2013
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Non
Taille du fichier:~821.248 Octets
Somme de contrôle MD5:77EE60CC40919BC9E2CE232CF8BCA591
Version VDF:7.11.102.182 - lundi 16 septembre 2013
Version IVDF:7.11.102.182 - lundi 16 septembre 2013

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: SecurityRisk.BL
   •  Mcafee: Artemis!256F569179D7
   •  Kaspersky: Trojan.Win32.Staser.fv
   •  TrendMicro: TROJ_STASER.AB
   •  Sophos: Mal/VMProtBad-A
   •  Panda: Trj/CI.A
   •  DrWeb: Adware.Mutabaha.25
   •  Fortinet: W32/Staser.FV!tr


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %ALLUSERSPROFILE%\Application Data\eSafe\eGdpSvc.exe



Le fichier suivant est créé:

– Fichier inoffensif:
   • %ALLUSERSPROFILE%\Application Data\eSafe\log\eGdpSvc.LOG

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\WsysSvc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="C:\Documents and Settings\\All Users\\Application Data\\eSafe\\eGdpSvc.exe"
   • "DisplayName"="Wsys Service"
   • "Group"="SchedulerGroup"
   • "ObjectName"="LocalSystem"
   • "Description"="Wsys update service"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   WsysControl]
   • "DisplayName"="Wsys Control 10.2.1.2634"
   • "DisplayVersion"="10.2.1.2634"
   • "publisher"="Wsys Co., Ltd."
   • "UninstallString"="C:\Documents and Settings\\All Users\\Application Data\\eSafe\\eGdpSvc.exe -unsvc"
   • "DisplayIcon"="C:\Documents and Settings\\All Users\\Application Data\\eSafe\\eGdpSvc.exe"

– [HKLM\SOFTWARE\eSafeSecControl]
   • "sid"="eGdp"
   • "channel"="eGdp"
   • "pid"="eSafe"
   • "ver"="10.2.1.2634"

– [HKLM\SYSTEM\ControlSet001\Services\WsysSvc\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,.....

– [HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\
   WsysSvc]
– [HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\WsysSvc]
   • "EventMessageFile"="C:\Documents and Settings\\All Users"
   • "TypesSupported"=dword:00000007

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSYSSVC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSYSSVC\0000]
   • "Service"="WsysSvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Wsys Service"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSYSSVC\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="WsysSvc"

– [HKLM\SYSTEM\ControlSet001\Services\WsysSvc\Enum]
   • "0"="Root\\LEGACY_WSYSSVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:0000000a

– [HKLM\SOFTWARE\eSafeSecControl]
   • "sid"="eGdp"
   • "ver"="10.2.1.2634"

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • xa.xi**********oud.com/v4/sof-newgdp/VMware**********n&update2=language,en&update3=version,10.2.1.2634&update4=ref1,eGdp
   • xa.xi**********oud.com/v4/sof-newgdp/VMware**********pdate2=language,en&update3=version,10.2.1.2634&update4=ref1,eGdp
   • up.so**********5.com/gdp/softupdate?ptid=&s**********0000000001

Description insérée par Soe-liang Tan le mardi 17 septembre 2013
Description mise à jour par Soe-liang Tan le mardi 17 septembre 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.