ADSPY/Look2Me.AB.67 - Adware / Spyware

A voir aussi

Brève description

Description complète

Statistiques

Nom:	ADSPY/Look2Me.AB.67
La date de la découverte:	10/10/2005
Type:	Cheval de Troie
Sous type:	Adware
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	578.560 Octets
Somme de contrôle MD5:	242a20bae9cf9cb816a447150378c02d
Version VDF:	6.32.00.72

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: not-a-virus:AdWare.Win32.Look2Me.ab
   • VirusBuster: trojan Adware.Look2Me.P
   • Bitdefender: Trojan.Canbede.L

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il télécharge des fichiers
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

Fichiers Les fichiers suivants sont créés:

– %SYSDIR%\%chaîne de caractères aléatoire%.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/Look2Me.AB.76

– %SYSDIR%\%chaîne de caractères aléatoire%.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/Look2Me.AB.76

– %SYSDIR%\guard.tmp Détecté comme: ADSPY/Look2Me.AB.76

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %mots aléatoires%]
   • "Shutdown" = "WinShutdown"
   • "Logoff" = "WinLogoff"
   • "Logon" = "WinLogon"
   • "Impersonate" = dword:00000000
   • "DllName" = "%sysdir%\%ficher dll viral%"
   • "Asynchronous" = dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\
   Approved]
   • "%le CLSID généré%" = ""

– [HKCR\CLSID\%le CLSID généré%]
   • "IDEx" = "ADDR"
   • "@" = ""

– [HKCR\CLSID\%le CLSID généré%\Implemented Categories]
   • "@" = ""

– [HKCR\CLSID\%le CLSID généré%\Implemented Categories\
   {00021492-0000-0000-C000-000000000046}]
   • "@" = ""

– [HKCR\CLSID\%le CLSID généré%\InprocServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%sysdir%\%ficher dll viral%"

La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\
   Desktop]
   L'ancienne valeur:
   • "Taskbar" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Taskbar" = %valeurs hexa%

Hôtes Parfois, il est possible que le fichier hôte soit modifié de la manière suivante:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès au lien URL suivant est effectivement bloqué :
• %rassemblé sur l'Internet%

Porte dérobée Serveur de contact:
Un des suivants::
   • www.ad-w-a-r-e.com/AD/**********
   • www.a-d-w-a-r-e.com/AD/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Télécharger un fichier
    • Éditer le registre
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Daniel Constantin sur Fri, 03 Mar 2006 12:14 (GMT+1)
Description mise à jour par Daniel Constantin sur Fri, 03 Mar 2006 16:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back