TR/KillAV.HI.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/KillAV.HI.2
La date de la découverte:	25/04/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	74.240 Octets
Somme de contrôle MD5:	0E54d1548c0F7d1afc2778d5f6dc8f5f
Version VDF:	6.34.01.04 - Tue, 25 Apr 2006 09:24 (GMT+1)

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.KillAV.hi
   • TrendMicro: TROJ_BRIZ.G
   • VirusBuster: trojan Trojan.KillAV.DT
   • Bitdefender: Backdoor.Agent.HB

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Arrêt les applications de sécurité
   • Il modifie des registres

Fichiers Il supprime le fichier suivant:
• C:\Program Files\McAfee.com\Agent\mctskshd.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Microsoft Windows Logon Process" = "%WINDIR%\winlogon.exe"
• "Microsoft Windows Session Manager Subsystem" = "%WINDIR%\smss.exe"

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • 10.0.0.5 avp.com; 10.0.0.5 kaspersky.com; 10.0.0.5 kaspersky-labs.com;
      10.0.0.5 updates1.kaspersky.com; 10.0.0.5 updates2.kaspersky.com;
      10.0.0.5 updates3.kaspersky.com; 10.0.0.5 updates-us1.kaspersky.com;
      10.0.0.5 downloads1.kaspersky.com; 10.0.0.5
      downloads-us1.kaspersky.com; 10.0.0.5 www.avp.com; 10.0.0.5
      www.kaspersky.com; 10.0.0.5 d-ru-1f.kaspersky-labs.com; 10.0.0.5
      d-ru-1h.kaspersky-labs.com; 10.0.0.5 d-ru-2f.kaspersky-labs.com;
      10.0.0.5 d-ru-2h.kaspersky-labs.com; 10.0.0.5
      d-eu-2f.kaspersky-labs.com; 10.0.0.5 d-eu-2h.kaspersky-labs.com;
      10.0.0.5 d-eu-1f.kaspersky-labs.com; 10.0.0.5
      d-eu-1h.kaspersky-labs.com; 10.0.0.5 d-us-1f.kaspersky-labs.com;
      10.0.0.5 d-us-1h.kaspersky-labs.com; 10.0.0.5 downloads1.kaspersky.ru;
      10.0.0.5 downloads2.kaspersky.ru; 10.0.0.5 downloads3.kaspersky.ru;
      10.0.0.5 downloads4.kaspersky.ru; 10.0.0.5 downloads5.kaspersky.ru;
      10.0.0.5 eset.com; 10.0.0.5 www.eset.com; 10.0.0.5 u2.eset.com;
      10.0.0.5 u3.eset.com; 10.0.0.5 u4.eset.com; 10.0.0.5 u7.eset.com;
      10.0.0.5 82.165.250.33; 10.0.0.5 82.165.237.14; 10.0.0.5
      www.nod32.com; 10.0.0.5 nod32.com; 10.0.0.5 eset.casablanca.cz;
      10.0.0.5 casablanca.cz; 10.0.0.5 customer.symantec.com; 10.0.0.5
      liveupdate.symantec.com; 10.0.0.5 liveupdate.symantecliveupdate.com;
      10.0.0.5 securityresponse.symantec.com; 10.0.0.5 symantec.com;
      10.0.0.5 update.symantec.com; 10.0.0.5 updates.symantec.com; 10.0.0.5
      www.symantec.com; 10.0.0.5 www.norton.com; 10.0.0.5 norton.com;
      10.0.0.5 mast.mcafee.com; 10.0.0.5 mcafee.com; 10.0.0.5
      rads.mcafee.com; 10.0.0.5 www.mcafee.com; 10.0.0.5 mcafee.com;
      10.0.0.5 us.mcafee.com; 10.0.0.5 dispatch.mcafee.com; 10.0.0.5
      download.mcafee.com; 10.0.0.5 metalhead2005.info; 10.0.0.5
      my-etrust.com; 10.0.0.5 nai.com; 10.0.0.5 networkassociates.com;
      10.0.0.5 secure.nai.com; 10.0.0.5 sophos.com; 10.0.0.5 trendmicro.com;
      10.0.0.5 viruslist.com; 10.0.0.5 viruslist.com; 10.0.0.5 www.ca.com;
      10.0.0.5 www.f-secure.com; 10.0.0.5 www.microsoft.com; 10.0.0.5
      www.my-etrust.com; 10.0.0.5 www.nai.com; 10.0.0.5
      www.networkassociates.com; 10.0.0.5 www.sophos.com; 10.0.0.5
      www.trendmicro.com; 10.0.0.5 www.viruslist.com; 10.0.0.5 ca.com;
      10.0.0.5 d66.myleftnut.info; 10.0.0.5 f-secure.com

Le fichier hôte modifié ressemblera à ceci:

Arrêt de processus: Le processus suivant est terminé:
• mctskshd.exe

Le service suivant est désactivé:
• McAfee Task Scheduler

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.microsoft.com

Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • - ORiEN executable files protection system -
   • ------ Created by A. Fisun, 1994-2003 ------
   • ------- WWW: http://zale**********/ -------
   • -------- e-mail: zale********** ---------
   • --------------------------------------------
   • Well, you got this text, but this will be all you get :)

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Daniel Constantin sur Thu, 11 May 2006 11:58 (GMT+1)
Description mise à jour par Andrei Gherman sur Fri, 12 May 2006 15:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back