Laboratoire antivirus Avira

DDOS/Nitol.A.215

  • Nom
    DDOS/Nitol.A.215
  • La date de la découverte
    26 oct. 2015
  • Type
    Malware
  • Impact
    Moyen 
  • Infections signalées
    Faible 
  • Système d'exploitation
    Windows
  • Version VDF
    7.11.51.190 (2012-11-28 09:07)

Le terme « DDOS » désigne un programme effectuant des attaques de type déni de service distribué (DDoS) sur certaines pages Internet par exemple.

  • VDF
    7.11.51.190 (2012-11-28 09:07)
  • Alias
    Avast: Win32:ServStart-C
    AVG: Generic18.MDX
    ClamAV: Trojan.MicroFake-1
    Dr. Web: Trojan.DownLoader13.1900
    F-PROT: W32/MalwareF.YMPW (exact)
    Trend Micro: WORM_MICROFAKE.U
    Microsoft: DDoS:Win32/Nitol
    G Data: Trojan.Microfake.D
    Kaspersky Lab: Trojan.Win32.MicroFake.ba
    Bitdefender: Trojan.Microfake.D
    ESET: Win32/Agent.RNS trojan
  • Fichiers
    Les fichiers suivants sont créés:
    • %SYSDIR%\emuimo.exe
    • %SYSDIR%\hra33.dll
    Les fichiers suivants sont renommés:
    • %TEMPDIR%\hrl4E.tmp
    • %DISKDRIVE%\RCX4F.tmp
    Les fichiers suivants sont supprimés:
    • %SYSDIR%\hra33.dll
    Les duplications suivantes sont créées:
    • %DISKDRIVE%\RCX4F.tmp
    • %APPDATA%\Sun\Java\jre1.7.0_51\lpk.dll
    • %TEMPDIR%\Microsoft .NET Framework 4 Setup_4.0.30319\lpk.dll
    • %TEMPDIR%\lpk.dll
    • %TEMPDIR%\{62198C42-974B-4F90-9AD2-12763AB58C97}~setup\lpk.dll
    • %temporary internet files%\Content.IE5\5KMEPSXE\lpk.dll
    • %temporary internet files%\Content.IE5\LV2JIAKP\lpk.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\lpk.dll
    • %DISKDRIVE%\hips\lpk.dll
    • %DISKDRIVE%\incoming\lpk.dll
    • %DISKDRIVE%\lpk.dll
    • %PROGRAM FILES%\Common Files\Java\Java Update\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\Speech\lpk.dll
    • %PROGRAM FILES%\FileZilla Server\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\Connection Wizard\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\lpk.dll
    • %PROGRAM FILES%\Java\jre7\bin\lpk.dll
    • %PROGRAM FILES%\Messenger\lpk.dll
    • %PROGRAM FILES%\Movie Maker\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\uninstall\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\MSN9Components\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\lpk.dll
    • %PROGRAM FILES%\MSN Gaming Zone\Windows\lpk.dll
    • %PROGRAM FILES%\NetMeeting\lpk.dll
    • %PROGRAM FILES%\Outlook Express\lpk.dll
  • Injections
    • %SYSDIR%\svchost.exe
  • Registre
    Les entrées de registre suivantes sont ajoutées:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000000; "ImagePath": "%SYSDIR%\emuimo.exe"; "DisplayName": "Distribuqre Transaction Coordinator Service"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ\0000 ("Service": "Distribumkq"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "Distribuqre Transaction Coordinator Service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "Distribumkq")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq\Enum ("0": "Root\LEGACY_DISTRIBUMKQ\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq ("Description": "Distribuoxs Transaction Coordinator Service.")

Aidez-nous à rendre le Web plus sûr en nous envoyant les fichiers/URL suspect(e)s pour analyse.

Envoyer votre fichier/URL ou Aller à Avira Answers

Pourquoi nous envoyer un fichier suspect ?

Si vous avez trouvé un fichier ou un site Internet suspect qui ne figure pas dans notre base de données, nous l'analyserons pour déterminer s'il est nuisible. Les résultats de nos recherches seront partagés avec nos millions d'utilisateurs lors de la prochaine mise à jour de la base de données de virus. Si vous utilisez Avira, vous obtiendrez également cette mise à jour. Vous n'avez pas Avira ? Téléchargez-le sur notre page d'accueil.

Qu'est-ce qu'Avira Answers ?

Il s'agit de notre communauté grandissante d'experts techniques et de spécialistes à temps partiel qui s'entraident pour résoudre les problèmes techniques. C'est l'endroit idéal pour poser vos questions aux autres utilisateurs de la communauté Avira.