TR/VB.aez.7 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/VB.aez.7
La date de la découverte:	29/12/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	27.648 Octets
Somme de contrôle MD5:	7d70255f56097a4c7af64aa42d023462
Version VDF:	6.33.00.81

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan.Win32.VB.aez

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge un fichier malveillant
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %WINDIR%\disable.reg

– %le dossier d'exécution du malware%\%executed file name%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://www.biobondy.com/source/bin/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\ieschedule.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/VB.agz

Registre La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initMod" = "2"

Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Cache\Content]
   L'ancienne valeur:
   • "CacheLimit"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "CacheLimit"=dword:00000400

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   L'ancienne valeur:
   • "DisableNotifications"=%réglages définis par l'utilisateur%
   • "DoNotAllowExceptions"=%réglages définis par l'utilisateur%
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableNotifications"=dword:00000001
   • "DoNotAllowExceptions"=dword:00000000
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   • "DetectionStartTime"=%réglages définis par l'utilisateur%
   • "ConfigVer"=%réglages définis par l'utilisateur%
   • "ResetAU"=%réglages définis par l'utilisateur%
   • "ScheduledInstallDay"=%réglages définis par l'utilisateur%
   • "ScheduledInstallTime"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001
   • "DetectionStartTime"="2004.09.20 19:59:26"
   • "ConfigVer"=dword:00000001"
   • "ResetAU"=dword:00000001
   • "ScheduledInstallDay"=dword:00000000
   • "ScheduledInstallTime"=dword:00000003

Arrêt de processus: La liste des services qui sont désactivés:
• Windows Security Center
• Windows Firewall

Informations divers Connexion Internet:

Il interroge avec les noms suivants:
• www.microsoft.com
• www.biobondy.com

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Wed, 04 Jan 2006 15:47 (GMT+1)
Description mise à jour par Andrei Gherman sur Mon, 30 Jan 2006 13:21 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour