TR/Click.VB.PF - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Click.VB.PF
La date de la découverte:	12/09/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	22.528 Octets
Somme de contrôle MD5:	9fb4d2300fafec7989db659fbf73ac8a
Version VDF:	6.35.01.215
Version IVDF:	6.35.01.219

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Clicker.Win32.VB.pf
   • TrendMicro: TROJ_VB.BKM
   • F-Secure: Trojan-Clicker.Win32.VB.pf
   • Grisoft: Clicker.CWG
   • Eset: Win32/TrojanClicker.VB.OO

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\Services.exe

Le fichier suivant est créé:

– %le dossier d'exécution du malware%\killme.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • www.sou15.com/fowfly/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\IeFavorites.txt

– L'emplacement est le suivant:
   • www.sou15.com/fowfly/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\adset.txt

– L'emplacement est le suivant:
   • www.sou15.com/fowfly/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\adlist.txt Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\Services.exe"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • @=""
   • "W2KLpk"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014

Porte dérobée Serveur de contact:
Le suivant:
   • www.sou15.com/fowfly/**********

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Le statut courant du malware

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• ASPack

Voir la description brève ici.

Description inséré par Adriana Popa sur Thu, 12 Oct 2006 13:23 (GMT+1)
Description mise à jour par Adriana Popa sur Thu, 12 Oct 2006 14:32 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour