TR/Drop.Small.afo.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Drop.Small.afo.2
La date de la découverte:	19/10/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	20.992 Octets
Somme de contrôle MD5:	C15B84E4255421287EE76E4CDAFBE04D
Version VDF:	6.32.00.101

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Dropper.Win32.Small.afo
   • Bitdefender: Trojan.Mailer.AVKiller.BM

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\%chaîne de caractères aléatoire%.exe

Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– %SYSDIR%\%chaîne de caractères aléatoire%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.Sma.afo.2.A

Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Classes\CLSID\
   {7368D5FC-6F5C-4f5b-B964-E67214F67852}]
– [HKLM\SOFTWARE\Classes\CLSID\{7368D5FC-6F5C-4f5b-B964-E67214F67852}\
   InProcServer32]
   • @="%chaîne de caractères aléatoire%.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exys"="{7368D5FC-6F5C-4f5b-B964-E67214F67852}"

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet.

Envoie de messages Recueillir des adresses:
Il recueille des adresses en entrant en contact avec les site web suivants:
• 209.160.72.**********
• http://ys.sec**********.info

Arrêt de processus: La liste des processus qui sont terminés:
   • ARMOR2NET.EXE; SAVSCAN.EXE; NPROTECT.EXE; NVSVC32.EXE; _AVP32.EXE;
      _AVPCC.EXE; _AVPM.EXE; ACKWIN32.EXE; ANTI-TROJAN.EXE; APVXDWIN.EXE;
      AUTODOWN.EXE; AVCONSOL.EXE; AVE32.EXE; AVGCTRL.EXE; AVKSERV.EXE;
      AVNT.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPDOS32.EXE; AVPM.EXE;
      AVPTC32.EXE; AVPUPD.EXE; AVSCHED32.EXE; AVWIN95.EXE; AVWUPD32.EXE;
      BLACKD.EXE; BLACKICE.EXE; CFIADMIN.EXE; CFIAUDIT.EXE; CFINET.EXE;
      CFINET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEANER.EXE; CLEANER3.EXE;
      DVP95.EXE; DVP95_0.EXE; ECENGINE.EXE; ESAFE.EXE; ESPWATCH.EXE;
      F-AGNT95.EXE; FINDVIRU.EXE; FPROT.EXE; F-PROT.EXE; F-PROT95.EXE;
      FP-WIN.EXE; FRW.EXE; F-STOPW.EXE; IAMAPP.EXE; IAMSERV.EXE; IBMASN.EXE;
      IBMAVSP.EXE; ICLOAD95.EXE; ICLOADNT.EXE; ICMON.EXE; ICSUPP95.EXE;
      ICSUPPNT.EXE; IFACE.EXE; IOMON98.EXE; JEDI.EXE; LOCKDOWN2000.EXE;
      LOOKOUT.EXE; LUALL.EXE; MOOLIVE.EXE; MPFTRAY.EXE; N32SCANW.EXE;
      NAVAPW32.EXE; NAVLU32.EXE; NAVNT.EXE; NAVW32.EXE; NAVWNT.EXE;
      NISUM.EXE; NMAIN.EXE; NORMIST.EXE; NUPGRADE.EXE; NVC95.EXE;
      OUTPOST.EXE; PADMIN.EXE; PAVCL.EXE; PAVSCHED.EXE; PAVW.EXE;
      PCCWIN98.EXE; PCFWALLICON.EXE; PERSFW.EXE; RAV7.EXE; RAV7WIN.EXE;
      RESCUE.EXE; SAFEWEB.EXE; SCAN32.EXE; SCAN95.EXE; SCANPM.EXE;
      SCRSCAN.EXE; SERV95.EXE; SMC.EXE; SPHINX.EXE; SWEEP95.EXE; TBSCAN.EXE;
      TCA.EXE; TDS2-98.EXE; TDS2-NT.EXE; VET95.EXE; VETTRAY.EXE;
      VSCAN40.EXE; VSECOMR.EXE; VSHWIN32.EXE; VSSTAT.EXE; WEBSCANX.EXE;
      WFINDV32.EXE; ZONEALARM.EXE

Détails de fichier Langage de programmation:
Le fichier a été écrit en Borland C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
• PecBundle
• PECompact

Voir la description brève ici.

Description inséré par Andrei Gherman sur Tue, 25 Oct 2005 11:05 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 01 Nov 2005 10:25 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour