TR/Copiet.B.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Copiet.B.1
La date de la découverte:	21/06/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	20.992 Octets
Somme de contrôle MD5:	b58eee5222843a98a2914904582bfcd8
Version VDF:	6.31.00.86

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.StartPage.aak
   • Bitdefender: Trojan.Delf.AP

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres

Fichiers Les fichiers suivants sont créés:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
• v4.okunion.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\Media1.inf Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
• v4.okunion.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\Media2.inf Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{B48F6409-4740-475B-A474-651F54CCE460}" = ""

– [HKCR\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll"

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Tue, 14 Mar 2006 14:05 (GMT+1)
Description mise à jour par Daniel Constantin sur Thu, 23 Mar 2006 13:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour