TR/Norip.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Norip.1
La date de la découverte:	20/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	89.911 Octets
Somme de contrôle MD5:	c38df15f1aae333a7dac39cb9646ed55
Version VDF:	6.35.00.195
Version IVDF:	6.35.00.235

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\LSASS.EXE
   • %WINDIR%\EXERT.EXE
   • %WINDIR%\Debug\DebugProgram.exe

   • %SYSDIR%\MSCONFIG.EXE
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com

   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.COM
   • %PROGRAM FILES%\Common Files\INTEXPLORE.PIF

Il peut corrompre les dossiers suivants :
   • RAVMON.EXE
   • TROJDIE*
   • KPOP*
   • CCENTER*
   • *ASSISTSE*
   • KPFW*
   • AGENTSVR*
   • KV*
   • KREG*
   • IEFIND*
   • IPARMOR*
   • SVI.EXE
   • UPHC*
   • RULEWIZE*
   • FYGT*
   • RFWSRV*
   • RFWMA*

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ToP = %WINDIR%\LSASS.exe

Les clés de registre suivantes sont ajoutée:

– [HKCR\WindowFiles]

– [HKCR\WindowFiles\DefaultIcon]
   • @ = %1

– [HKCR\WindowFiles\Shell]

– [HKCR\WindowFiles\Shell\Open]

– [HKCR\WindowFiles\Shell\Open\Command]
   • @ = %WINDIR%\EXERT.exe "%1" %*

Les clés de registre suivantes sont changées:

– [HKCR\.exe]
   La nouvelle valeur:
   • @ = WindowFiles

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • Check_Associations = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Check_Associations = No

– [HKCR\Applications\iexplore.exe\shell\open\command]
   L'ancienne valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   L'ancienne valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com"

– [HKCR\ftp\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\htmlfile\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCR\htmlfile\shell\opennew\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" %1

– [HKCR\http\shell\open\command]
   L'ancienne valeur:
   • @ = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" -nohome

Arrêt de processus: Le processus suivant est terminé:
   • RAVMON.EXE

Les processus avec une des chaînes de caractères suivantes sont terminés:
   • TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
      IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA

Porte dérobée Serveur de contact:
Un des suivants::
• http://upd.etsoft.com.cn/UPD/**********
• http://upd.etsoft.com.cn/upd/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Fri, 28 Jul 2006 15:49 (GMT+1)
Description mise à jour par Andrei Gherman sur Fri, 28 Jul 2006 16:22 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back