TR/VB.QN.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/VB.QN.1
La date de la découverte:	20/12/2004
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	77.312 Octets
Somme de contrôle MD5:	976753dd82759b6ca8f5c4b62cc25f92
Version VDF:	6.29.00.24

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: Prutec
   • Kaspersky: Trojan-Spy.Win32.VB.eh
   • Sophos: Troj/Prutec-K
   • Bitdefender: Trojan.Spy.VB.ED

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %le dossier d'exécution du malware%\%chaîne de caractères aléatoire%.exe

Il supprime sa propre copie, exécutée initialement

Il supprime le fichier suivant:
   • %lecteur système racine%\~

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %le dossier d'exécution du malware%\key.~
   • %le dossier d'exécution du malware%\log.~

– %TEMPDIR%\%numéro hexadécimal%.exe

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://prutect.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %le dossier d'exécution du malware%\iniwin32.dll Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/E2Give.D

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"

Les valeurs des clés de registre suivantes sont supprimées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{%le CLSID généré%}]
   • "InprocServ32"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]
   • @="CControl Object"
   • "AppID"=""
   • "AppId2"=dword:%numéro hexadécimal%
   • "AppID3"="Verified"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\InprocServer32]
   • "ThreadingModel"="apartment"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\ProgID]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\Programmable]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\TypeLib]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\
   VersionIndependentProgID]
– [HKCR\AppID\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}]
– [HKCR\AppID\IeBHOs.DLL]
– [HKCR\IeBHOs.Control\CurVer]
   • @="IeBHOs.Control.1"

– [HKCR\IeBHOs.Control\CLSID]
– [HKCR\IeBHOs.Control.1\CLSID]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\0\win32]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\FLAGS]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\HELPDIR]
– [HKLM\SOFTWARE\E2G]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "AppInit_DLLs"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "AppInit_DLLs"="iniwin32.dll"

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://prutect.com/**********
   • http://prutect.com/**********
   • http://216.122.145.209/**********
   • http://216.122.145.208/**********
   • http://prutect.com/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.
Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.
Le réponse du serveur est écrit dans le fichier: %le dossier d'exécution du malware%\data.~

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • L'ID de la plateforme
    • Information sur le système d'exploitation Windows

Capacités d'accès à distance:
    • Télécharger un fichier
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Thu, 04 May 2006 10:17 (GMT+1)
Description mise à jour par Daniel Constantin sur Thu, 04 May 2006 12:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour