TR/Proxy.Wopla.Q.4 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Proxy.Wopla.Q.4
La date de la découverte:	02/02/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	20.992 Octets
Somme de contrôle MD5:	f021056fd653f96ea629dd6bfca6d444
Version VDF:	6.33.00.187

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Trojan.Tannick.B
   • Kaspersky: Trojan-Proxy.Win32.Wopla.q
   • Bitdefender: Trojan.Proxy.Wopla.Q

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %SYSDIR%\xtempx.xxx

– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Proxy.Wopla.Q.1

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exgl"="{636821FC-6F5C-2f1b-B164-E67214F678E2}"

– [HKLM\SOFTWARE\Classes\CLSID\{636821FC-6F5C-2f1b-B164-E67214F678E2}\
   InProcServer32]
   • @="%SYSDIR%\%ficher dll viral%"
   • "ThreadingModel"="Apartment"

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Placeholder_Datagl"=%valeurs hexa%gl.secd**********%valeurs hexa%gl.nulladd**********%valeurs hexa%

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet.

Sujet:
Le suivant:
• %rassemblé sur l'Internet%

Corps:
Le corps de l'email est le suivant:
• %rassemblé sur l'Internet%

Porte dérobée Le port suivant est ouvert:

– %WINDIR%\explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 5.

Serveur de contact:
Le suivant:
   • gl.secd**********

En conséquence la possibilité de contrôle à distance est fournie.

Capacités d'accès à distance:
    • Envoyer des e-mails
    • Visiter un site web

Informations divers Mutex:
Il crée le Mutex suivant:
• rgl_eqfdsafsdamrytrrrrrrtrrtdytcjuyrnedk

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PECompact

Voir la description brève ici.

Description inséré par Daniel Constantin sur Mon, 06 Mar 2006 16:37 (GMT+1)
Description mise à jour par Daniel Constantin sur Thu, 09 Mar 2006 16:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour