TR/Spy.Sters.H.7 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Sters.H.7
La date de la découverte:	25/01/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	49.664 Octets
Somme de contrôle MD5:	9691cae430086da0051d2942e41ebeb2
Version VDF:	6.33.00.157

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: BackDoor-CWW
   • Kaspersky: Trojan-Spy.Win32.Sters.h
   • TrendMicro: TSPY_STERS.I
   • Sophos: Troj/Sters-B
   • VirusBuster: trojan TrojanSpy.Sters.A
   • Bitdefender: Trojan.Spy.Sters.D

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers malveillants
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Le fichier suivant est créé:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %WINDIR%\disable.reg

Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Logon Process" = "%WINDIR%\winlogon.exe"
   • "Microsoft Windows Session Manager Subsystem" = "%WINDIR%\smss.exe"

Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   L'ancienne valeur:
   • "DisableNotifications"=dword:%réglages définis par l'utilisateur%
   • "DoNotAllowExceptions"=dword:%réglages définis par l'utilisateur%
   • "EnableFirewall"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableNotifications"=dword:00000001
   • "DoNotAllowExceptions"=dword:00000000
   • "EnableFirewall"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Cache\Content]
   L'ancienne valeur:
   • "CacheLimit"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "CacheLimit"=dword:00000400

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=dword:%réglages définis par l'utilisateur%
   • "DetectionStartTime"="%réglages définis par l'utilisateur%"
   • "ConfigVer"=dword:%réglages définis par l'utilisateur%
   • "ResetAU"=dword:%réglages définis par l'utilisateur%
   • "ScheduledInstallDay"=dword:%réglages définis par l'utilisateur%
   • "ScheduledInstallTime"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001
   • "DetectionStartTime"="2004.09.20 19:59:26"
   • "ConfigVer"=dword:00000001"
   • "ResetAU"=dword:00000001
   • "ScheduledInstallDay"=dword:00000000
   • "ScheduledInstallTime"=dword:00000003

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "FirstRunDisabled"=dword:%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=dword:%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=dword:%réglages définis par l'utilisateur%
   • "UpdatesDisableNotify"=dword:%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=dword:%réglages définis par l'utilisateur%
   • "FirewallOverride"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FirstRunDisabled"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Porte dérobée Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Mon, 13 Feb 2006 10:54 (GMT+1)
Description mise à jour par Daniel Constantin sur Tue, 14 Feb 2006 13:13 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour