TR/Spy.Delf.ig.13.A - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Delf.ig.13.A
La date de la découverte:	14/12/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	14.848 Octets
Somme de contrôle MD5:	85be766a7d8e147ffb6588b669166754
Version VDF:	6.33.00.25

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: Spam-Maxy
   • Kaspersky: Trojan-Proxy.Win32.Delf.an

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effets secondaires:
   • Il crée un fichier
   • Il emploie son propre moteur de courrier électronique

Fichiers Le fichier suivant est créé:

– Fichier inoffensif:
• %le dossier d'exécution du malware%\mm.pid

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet.

Envoie de messages Recueillir des adresses:
Il recueille des adresses en entrant en contact avec le site web suivant:
• wm.kom**********ka.info/cgi-bin5/repeater3.fcgi

Porte dérobée Serveur de contact:
Tous les suivants:
   • wm.kom**********ka.info/cgi-bin5/repeater3.fcgi
   • wm.kom**********ka.info/cgi-bin5/receiver.fcgi

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.

Il envoie de l'information au sujet de:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Envoyer des e-mails
    • Relié au Spam

Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
• Portions Copyright (c) 1999,2003 Avenger by NhT

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Mon, 09 Jan 2006 09:50 (GMT+1)
Description mise à jour par Daniel Constantin sur Mon, 09 Jan 2006 10:15 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour