TR/Sirery.A - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Sirery.A
La date de la découverte:	10/01/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	54.529 Octets
Somme de contrôle MD5:	e94d50a89d911c90e361d97eafaf6b92
Version VDF:	6.33.00.105

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.Krotten.ai
   • TrendMicro: TROJ_KROTTEN.AA
   • F-Secure: W32/Krotten.A
   • Sophos: Troj/Sisery-C
   • Grisoft: Agent.DD
   • Bitdefender: Trojan.Small.FW

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Les images ont été éditées dans le but d'affichage.

Fichiers Il s'autocopie dans les emplacements suivants:
• %WINDIR%\Web\rundll32.exe
• %WINDIR%\Cursors\avp.exe

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svchost"="%WINDIR%\Web\rundll32.exe"
   • "AVPCC"="%WINDIR%\Cursors\avp.exe"

Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKCR\regfile\shell\open\command]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]

Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   • "DiskSpaceThreshold"=dword:00000099

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

– [HKCU\Control Panel\Desktop]
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowRun"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Window title"=":::::::::::::::::: %texte russe% ::::::::::::::::::"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="%texte russe%"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window title"=":::::::::::::::::: %texte russe% ::::::::::::::::::"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]
   • "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001
   • "{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
   • "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   • "NoAddRemovePrograms"=dword:00000001

Les clés de registre suivantes sont changées:

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableTaskMgr"=%réglages définis par l'utilisateur%
   • "NoDispCPL"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   L'ancienne valeur:
   • "DisableTaskMgr"=%réglages définis par l'utilisateur%
   • "NoDispCPL"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoStartMenuPinnedList"=%réglages définis par l'utilisateur%
   • "NoStartMenuMFUprogramsList"=%réglages définis par l'utilisateur%
   • "NoStartMenuSubFolders"=%réglages définis par l'utilisateur%
   • "NoCommonGroups"=%réglages définis par l'utilisateur%
   • "NoSMMyPictures"=%réglages définis par l'utilisateur%
   • "NoStartMenuMyMusic"=%réglages définis par l'utilisateur%
   • "NoSMMyDocs"=%réglages définis par l'utilisateur%
   • "NoDesktop"=%réglages définis par l'utilisateur%
   • "NoActiveDesktop"=%réglages définis par l'utilisateur%
   • "NoViewOnDrive"=%réglages définis par l'utilisateur%
   • "NoControlPanel"=%réglages définis par l'utilisateur%
   • "NoDrives"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoFavoritesMenu"=%réglages définis par l'utilisateur%
   • "NoRecentDocsMenu"=%réglages définis par l'utilisateur%
   • "NoLogOff"=%réglages définis par l'utilisateur%
   • "NoClose"=%réglages définis par l'utilisateur%
   • "NoSaveSettings"=%réglages définis par l'utilisateur%
   • "NoUserNameInStartMenu"=%réglages définis par l'utilisateur%
   • "NoToolbarCustomize"=%réglages définis par l'utilisateur%
   • "NoThemesTab"=%réglages définis par l'utilisateur%
   • "NoSMHelp"=%réglages définis par l'utilisateur%
   • "NoPrinterTabs"=%réglages définis par l'utilisateur%
   • "NoPrinters"=%réglages définis par l'utilisateur%
   • "NoNetHood"=%réglages définis par l'utilisateur%
   • "NoManageMyComputerVerb"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   L'ancienne valeur:
   • "NoStartMenuPinnedList"=%réglages définis par l'utilisateur%
   • "NoStartMenuMFUprogramsList"=%réglages définis par l'utilisateur%
   • "NoStartMenuSubFolders"=%réglages définis par l'utilisateur%
   • "NoCommonGroups"=%réglages définis par l'utilisateur%
   • "NoSMMyPictures"=%réglages définis par l'utilisateur%
   • "NoStartMenuMyMusic"=%réglages définis par l'utilisateur%
   • "NoSMMyDocs"=%réglages définis par l'utilisateur%
   • "NoDesktop"=%réglages définis par l'utilisateur%
   • "NoActiveDesktop"=%réglages définis par l'utilisateur%
   • "NoViewOnDrive"=%réglages définis par l'utilisateur%
   • "NoControlPanel"=%réglages définis par l'utilisateur%
   • "NoDrives"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoFavoritesMenu"=%réglages définis par l'utilisateur%
   • "NoRecentDocsMenu"=%réglages définis par l'utilisateur%
   • "NoLogOff"=%réglages définis par l'utilisateur%
   • "NoClose"=%réglages définis par l'utilisateur%
   • "NoSaveSettings"=%réglages définis par l'utilisateur%
   • "NoUserNameInStartMenu"=%réglages définis par l'utilisateur%
   • "NoToolbarCustomize"=%réglages définis par l'utilisateur%
   • "NoThemesTab"=%réglages définis par l'utilisateur%
   • "NoSMHelp"=%réglages définis par l'utilisateur%
   • "NoPrinterTabs"=%réglages définis par l'utilisateur%
   • "NoPrinters"=%réglages définis par l'utilisateur%
   • "NoNetHood"=%réglages définis par l'utilisateur%
   • "NoManageMyComputerVerb"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

La page de démarrage d'Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Start Page"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Start Page"="http://poetry.rotten.com/**********"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   L'ancienne valeur:
   • "RPLifeInterval"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "LegalNoticeCaption"="%réglages définis par l'utilisateur%"
   • "LegalNoticeText"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="%texte russe%"

Le format de l'heure"
– [HKCU\Control Panel\International]
   L'ancienne valeur:
   • "sTimeFormat"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "sTimeFormat"="%texte russe%"

La page de démarrage d'Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Start Page"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Start Page"="http://poetry.rotten.com/**********"

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "MenuShowDelay"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "MenuShowDelay"="9999"

Informations divers Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
• InqSoft Sign 0f Misery, v. 2.7, pre-release 2
• C0ded by CyberManiac, (C)2001-2004

Voir la description brève ici.

Description inséré par Daniel Constantin sur Mon, 16 Jan 2006 12:18 (GMT+1)
Description mise à jour par Daniel Constantin sur Mon, 23 Jan 2006 08:07 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour