TR/Repor.A - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Repor.A
La date de la découverte:	01/04/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	29.582 Octets
Somme de contrôle MD5:	10ef4838aa0496d818d82a8b12fa6425
Version VDF:	6.30.00.60

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: Keylog-SClog
   • Kaspersky: Trojan-Spy.Win32.SCKeyLog.o
   • Grisoft: PSW.Sclog.D
   • VirusBuster: Trojan.Gogel.A
   • Bitdefender: Win32.Repor.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\csrs.exe

Le fichier suivant est créé:

– %TEMPDIR%\ief%chaîne de caractères aléatoire%.tmp Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'URL visité%

– %TEMPDIR%\67-41 Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %le nom de l'ordinateur%
     %la date courante%
     %l'heure courante%
     %L'adresse IP courante%
     %le nom d'utilisateur courant%
     %tous les processus en exécution"
     %l'information volée%

– %SYSDIR%\srsc.dat Ce fichier contient d'information sur le système.
– %SYSDIR%\srsc.le Ce fichier contient d'information sur le système.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "csrs"="%SYSDIR%\csrs.exe"

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   csrs]
   • "DllName"="csrs.dll"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Lock"="WLELock"
   • "Logoff"="WLELogoff"
   • "Logon"="WLELogon"
   • "Shutdown"="WLEShutdown"
   • "StartScreenSaver"="WLEStartScreenSaver"
   • "Startup"="WLEStartup"
   • "StopScreenSaver"="WLEStopScreenSaver"
   • "Unlock"="WLEUnlock"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: tibianhackr28@yahoo.com
A: tibianhackr28@yahoo.com
Sujet: Log report of computer %le nom de l'ordinateur% (%le nom d'utilisateur courant%)
Le corps:
   • SC-KeyLog log report

     See attached file(s)...
Les attachements:
   • IE_Favorites.html(%TEMPDIR%\ief%chaîne de caractères aléatoire%.tmp)
   • LogFile.log(%TEMPDIR%\67-41)

L'email pourrait ressembler à un des suivants:

Vol d'informations Il essaie de voler l'information suivante:

– Il capture:
• Frappes de touche
• Fenêtre d'information

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Fri, 17 Mar 2006 16:38 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 21 Mar 2006 12:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour