TR/KillFiles.JA - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/KillFiles.JA
La date de la découverte:	13/07/2006
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Élevé
Fichier statique:	Oui
Taille du fichier:	9.008 Octets
Somme de contrôle MD5:	8bb7961e5b018190ac5950d96605e0b8
Version VDF:	6.35.00.126
Version IVDF:	6.35.00.154

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.KillFiles.ja
   • TrendMicro: TROJ_KILLFILE.AV

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\Persian-X27.exe
   • %WINDIR%\Miscreant.exe

Il crée sa propre copie en employant un nom de fichier des listes:
– A: %tous les dossiers% employant un des noms suivants:
   • OnLine.exe
   • Service.exe
   • Music.exe
   • Girls.exe
   • Women.exe
   • DJ Tattoo.exe
   • Funny.exe
   • Trollop.exe
   • Scamp.exe
   • Puck.exe
   • Pixy.exe
   • OedipusComplex.exe
   • Nursling.exe
   • Matrix.exe
   • Loon.exe
   • Phallic.exe
   • Watchfulness.exe
   • Heavy.exe
   • Nightcap.exe
   • Brilliance.exe
   • Wittol.exe
   • Whorish.exe
   • Whoreson.exe
   • Ribald.exe
   • Quean.exe
   • Nag.exe
   • Magdalen.exe
   • Mademe.exe
   • Harridan.exe
   • Harlot.exe
   • Hackney.exe
   • Fornicate.exe
   • Besom.exe
   • Townswoman.exe
   • Lupanar.exe
   • Fornication.exe
   • FancyWomen.exe
   • Drab.exe
   • Doxy.exe
   • Zoogenous.exe
   • Sodomyh.exe
   • Shoat.exe
   • Saucebox.exe
   • Pederasty.exe
   • Oaf.exe
   • Nanny.exe
   • Adulteress.exe
   • Abed.exe
   • Bedfellow.exe
   • Chemise.exe
   • Nightwalker.exe
   • Opiate.exe
   • Sly.exe
   • Whoremonger.exe
   • Wench.exe
   • Trul.exe
   • Prostitute.exe
   • Meretricious.exe
   • Callet.exe
   • GrassWidow.exe
   • Geisha.exe
   • Cockatrice.exe
   • Zoogenic.exe
   • Womb.exe
   • Viviparity.exe
   • Urchin.exe
   • Uniparous.exe
   • Tyke.exe
   • Terror.exe
   • Tad.exe
   • Stillborn.exe
   • Sissy.exe
   • Raptor.exe
   • Piddle.exe
   • Parturient.exe
   • Cuckold.exe
   • Penis.exe
   • Bedclothes.exe
   • Cohabitant.exe
   • Fluff.exe
   • Sagacity.exe
   • Knowing.exe
   • Ingenious.exe
   • Cunning.exe
   • Strumpet.exe
   • Streetwalker.exe
   • Stallion.exe
   • Moll.exe
   • Lighto'love.exe
   • Hetaira.exe
   • Courtezan.exe
   • Bordel.exe

Il supprime les fichiers suivants:
   • %SYSDIR%\Restore\rstrui.exe
   • %SYSDIR%\Restore\srframe.mmf
   • %SYSDIR%\Restore\srdiag.exe
   • :\%tous les dossiers%\*.*

Le fichier suivant est créé:

– :\%tous les dossiers%\@li-RNo.H.Txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Hi,How Are You ?
     Ali Reza No.H.::.
     My name is FoovaPartB

Registre La valeur de la clé de registre suivante est supprimée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%lettre%%lettre%%lettre%\Application]

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDrives"=dword:00000004

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3]
   • "Application"="%SYSDIR%\Persian-X27.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithList]
   • "a"="%SYSDIR%\Persian-X27.exe"

– [HKCR\ArnhFile]
   • @="E:\PersianMiscreant-X27 File"

– [HKCR\ArnhFile\DefaultIcon]
   • @="%SYSDIR%\Persian-X27.exe"

– [HKCR\ArnhFile\shell]
– [HKCR\ArnhFile\shell\open]
– [HKCR\ArnhFile\shell\open\command]
   • @="%SYSDIR%\Persian-X27.exe %L"

Les clés de registre suivantes sont changées:

– [HKCR\.exe]
   L'ancienne valeur:
   • @="exefile"
   La nouvelle valeur:
   • @="Mp3File"

– [HKCR\.%lettre%%lettre%%lettre%]
   La nouvelle valeur:
   • @="ArnhFile"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%lettre%%lettre%%lettre%]
   La nouvelle valeur:
   • "Application"="%SYSDIR%\Persian-X27.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%lettre%%lettre%%lettre%\OpenWithList]
   La nouvelle valeur:
   • "a"="%SYSDIR%\Persian-X27.exe"

– [HKCR\mp3file]
   La nouvelle valeur:
   • @="E:\PersianMiscreant-X27 File"

– [HKCR\mp3file\DefaultIcon]
   La nouvelle valeur:
   • @="%SYSDIR%\Persian-X27.exe"

– [HKCR\mp3file\shell\open\command]
   La nouvelle valeur:
   • @="%SYSDIR%\Persian-X27.exe %L"

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Monica Ghitun sur Thu, 13 Jul 2006 14:24 (GMT+1)
Description mise à jour par Monica Ghitun sur Tue, 01 Aug 2006 15:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back