TR/FURootkit - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/FURootkit
La date de la découverte:	14/03/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	19.533 Octets
Somme de contrôle MD5:	dbd59aa4151a57c8e0124c34f9a3aef7
Version VDF:	6.30.00.74

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Hacktool.Rootkit
   • Kaspersky: Net-Worm.Win32.Mytob.r
   • TrendMicro: TROJ_ROOTDROP.A
   • Bitdefender: Trojan.Dropper.Rootkit.H

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres

Fichiers Le fichier suivant est créé:

– %le dossier d'exécution du malware%\msdirectx.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Agent.dg.2.B

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"=hex(2):%malware executin directory%\msdirectx.sys
     "DisplayName"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Enum]
   • "0"="Root\\LEGACY_MSDIRECTX\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000]
   • "Service"="msdirectx"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="msdirectx"

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Wed, 15 Mar 2006 09:26 (GMT+1)
Description mise à jour par Andrei Gherman sur Fri, 17 Mar 2006 11:12 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back