TR/PSW.Lmir.art - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/PSW.Lmir.art
La date de la découverte:	20/02/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	17.721 Octets
Somme de contrôle MD5:	67f583cb9d699b581fde383c48af46bc
Version VDF:	6.33.01.07

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan-PSW.Win32.Lmir.art

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winser.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %WINDIR%\vbarun.dll Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [Shutdown]
     T=
     M=
     D=
     W=

– %SYSDIR%\GroupPolicy\Machine\Scripts\scripts.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [Shutdown]
     0CmdLine=%SYSDIR%\winser.exe
     0Parameters=AVP

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• KernelCheck = %SYSDIR%\winser.exe

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\wSkysoft]

Arrêt de processus: La liste des processus qui sont terminés:
   • assistse.exe; kregex.exe; trojdie.kxp; kvsrvxp.exe; kvmonxp.kxp;
      frogagent.exe; kvxp.kxp; ccenter.exe; ravmond.exe; ravmon.exe;
      rfwmain.exe; rfwsrv.exe; kpfwsvc.exe; kavpfw.exe; kavstart.exe;
      kmailmon.exe; kwatch.exe; avp.exe; kav.exe; kavsvc.exe; rtvscan.exe;
      ccsetmgr.exe; defwatch.exe; ccevtmgr.exe; ccapp.exe; mcshield.exe;
      mcvsescn.exe; mcdetect.exe; mcmnhdlr.exe; trojanwall.exe;
      fygtcleaner.exe; mantispm.exe; vsmon.exe; isafe.exe; zlclient.exe;
      pcclient.exe; pcctlcom.exe; tmpfw.exe; tmntsrv.exe; tmproxy.exe;
      pccguide.exe; iparmor.exe; xfilter.exe; filmsg.exe; avengine.exe;
      pavsrv51.exe; psimsvc.exe; pavprsrv.exe; tpsrv.exe; pavprsrv.exe;
      apvxdwin.exe; srvload.exe; webproxy.exe

La liste des services qui sont désactivés:
   • KVSrvXP; KVWSC; RsCCenter; RsRavMon; RfwService; KWatchSvc; KPfwSvc;
      AVP; kavsvc; McTskshd.exe; McDetect.exe; CAISafe; vsmon; Tmntsrv;
      PcCtlCom; TmPfw; tmproxy; pmshellsrv; PAVSRV; PAVFNSVR; PSIMSVC;
      PNMSRV; PavPrSrv; TPSrv

Porte dérobée Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Nom de l'ordinateur
    • L'activité local des utilisateurs
    • Information sur le système d'exploitation Windows

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Andrei Gherman sur Fri, 24 Feb 2006 14:29 (GMT+1)
Description mise à jour par Andrei Gherman sur Mon, 27 Feb 2006 08:36 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour