TR/Spy.Goldun.FN.3 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Goldun.FN.3
La date de la découverte:	16/01/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	90.340 Octets
Somme de contrôle MD5:	2cce0a5a6806d1f10f3a61597b073636
Version VDF:	6.33.00.117

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: PWS-Banker.d
   • Kaspersky: Trojan-Spy.Win32.Goldun.fn

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

Fichiers Le fichier suivant est créé:

– %SYSDIR%\appwiz.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Goldun.FN.4

Registre Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{78364D99-A640-4ddf-B91A-67EFF8373045}]

Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Windows]
   • "phid" = "%valeurs hexa%"
   • "installer_time" = dword:%valeurs hexa%

– [HKCR\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}\InprocServer32]
   • "ThreadingModel" = "apartment"
   • "@" = "%SYSDIR%\appwiz.dll"

La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Enable Browser Extensions" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Enable Browser Extensions" = "yes"

Porte dérobée Serveur de contact:
Le suivant:
   • http://67.15.182.17/~exchange/2/**********?phid=%valeurs hexa%&ver=1.9.99&r=&nn=1

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps du système
    • L'activité local des utilisateurs

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Mon, 16 Jan 2006 17:38 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Fri, 20 Jan 2006 17:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour