TR/Dloadr.ALQ - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dloadr.ALQ
La date de la découverte:	21/08/2006
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	8.945 Octets
Somme de contrôle MD5:	ff470D3026278ff89ba3ad13cb49e718
Version VDF:	6.35.01.115
Version IVDF:	6.35.01.116

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Dropper.Win32.Small.ard
   • TrendMicro: TROJ_DLOADER.DQB
   • Sophos: Troj/Dloadr-ALQ
   • VirusBuster: TrojanSpy.Goldun.KO
   • Bitdefender: Trojan.Dloadr.ALQ

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres

Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %SYSDIR%\mscods.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dloadr.ALQ.1

– %TEMPDIR%\vbrs.bat
– %TEMPDIR%\screen.bmp

Registre Il enregistre un objet d'aide du navigateur en ajoutant les clés suivantes:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575}\InprocServer32
   • "(Default)"="%SYSDIR%\mscods.dll"
   • "ThreadingModel"="Apartment"

Les clés de registre suivantes sont ajoutée:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{45357971-2534-8760-3685-423479197575}]

Porte dérobée Serveur de contact:
Le suivant:
• http://everythingdiscounted.biz/store/images/extras/**********

En conséquence la possibilité de contrôle à distance est fournie. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.

Capacités d'accès à distance:
• Télécharger un fichier

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Tue, 22 Aug 2006 10:43 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Thu, 07 Sep 2006 08:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour