ADSPY/BaiduBar.P - Adware / Spyware

A voir aussi

Brève description

Description complète

Statistiques

Nom:	ADSPY/BaiduBar.P
La date de la découverte:	02/10/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	19.968 Octets
Somme de contrôle MD5:	306cee9a4db1909c45960c79980413fd
Version VDF:	6.36.00.71
Version IVDF:	6.36.00.86

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.Agent.tl
   • F-Secure: Trojan.Win32.Agent.tl
   • Eset: Win32/Agent.TL

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\%chaîne de caractères aléatoire%.tmp

Il crée le répertoire suivant:
   • %SYSDIR%\A4\baisob\update

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\A4\baisob\update\updatefile.lst
   • %SYSDIR%\A4\baisob\update\waitdown.lst

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • soft.baiso.com.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\up.dat

– L'emplacement est le suivant:
   • ad.baiso.com.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\adout.dat Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • down.lons.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\verx.dat

– L'emplacement est le suivant:
   • down.lons.cn/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\realupdate.exe Au moment de l'analyse, ceci était déjà une nouvelle version de Malware

– L'emplacement est le suivant:
   • down.lons.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\dlldostb.dll

– L'emplacement est le suivant:
   • down.lons.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\novel.exe

– L'emplacement est le suivant:
   • down.lons.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\winampb.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • down.lons.cn/02/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\A4\baisob\update\avpb.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.Agent.awb.10

Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\baisob]
   • "SetupPath"="%SYSDIR%\A4\baisob"
   • "main"="1.0.0.14"
   • "selfUpdate"="1.0.0.17"
   • "otherUpdate"="1.0.0.16"
   • "2"="2.0.1.248"

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
• www.microsoft.com

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Adriana Popa sur Fri, 06 Oct 2006 12:54 (GMT+1)
Description mise à jour par Adriana Popa sur Mon, 09 Oct 2006 09:07 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour