TR/Dldr.EbayBill.D - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.EbayBill.D
La date de la découverte:	18/07/2006
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	17.408 Octets
Somme de contrôle MD5:	ca0E2fc83c794fa7be2aa3cae0a7ee0F
Version VDF:	6.35.00.172
Version IVDF:	6.35.00.211

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\ipf.exe

Les fichiers suivants sont créés:

– %SYSDIR%\drivers\winut.dat

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "IPF"="%SYSDIR%\ipf.exe"

La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'exécution du malware%\%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%:*:Enabled:%le fichier exécuté%"
   • "%SYSDIR%\ipf.exe"="%SYSDIR%\ipf.exe:*:Enabled:ipf"

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://www.dbspider.net/approach-som/images/**********
   • http://www.leads4sales.co.uk/images/main/**********
   • http://www.soloaguia.com/imagens/3/**********
   • http://www.dynafilmes.com.br/imagens/3/**********
   • http://www.spbfp.atlant.ru/sys/sys/**********
   • http://www.soloaguia.com/imagens/**********
   • http://www.docslv.com/gallery/bridge/**********
   • http://www.dynafilmes.com.br/imagens/**********
   • http://www.dreadwolf.net/**********
   • http://www.spbfp.atlant.ru/sys/**********
   • http://www.actsmiley.co.uk/img/**********

En conséquence la possibilité de contrôle à distance est fournie. Le réponse du serveur est écrit dans le fichier: %SYSDIR%\drivers\winut.dat

Capacités d'accès à distance:
    • Télécharger un fichier

Informations divers Mutex:
Il crée les Mutex suivants:
   • .t__!!x!!__t!!__
   • __[__z__l__s__]__

Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • The battle for middle earth
   • World Craft
   • Hallo god to be back haalllo.. Scooter the stdaium tehno experiance
   • Deed you miss me??
   • This is a mile mikhael city
   • This is a MonsterTune

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Monica Ghitun sur Tue, 18 Jul 2006 15:31 (GMT+1)
Description mise à jour par Monica Ghitun sur Wed, 19 Jul 2006 15:54 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour