TR/Proxy.Horst.ET - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Proxy.Horst.ET
La date de la découverte:	15/08/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	52.736 Octets
Somme de contrôle MD5:	a0066253dd1c186064fa3a9a9f51aaca
Version VDF:	6.35.01.94
Version IVDF:	6.35.01.95

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan-Proxy.Win32.Horst.et

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\smss.exe

Les fichiers suivants sont créés:

– %SYSDIR%\nvsvcd.exe
– %TEMPDIR%\tmp1.tmp

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%SYSDIR%\smss.exe /w"

Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\nvsvcd.exe
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

La valeur de la clé de registre suivante est supprimée:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • KAVPersonal50

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: pid.faretun.**********
Port: 80
Pseudonyme: jebt-1_%chaîne de caractères aléatoire de quatre digits%_%chaîne de caractères aléatoire de quatre digits%

Serveur: sir.carekor.**********
Port: 80
Pseudonyme: jebt-1_%chaîne de caractères aléatoire de quatre digits%_%chaîne de caractères aléatoire de quatre digits%

Serveur: reg.raxoper.**********
Port: 80
Pseudonyme: jebt-1_%chaîne de caractères aléatoire de quatre digits%_%chaîne de caractères aléatoire de quatre digits%

– Ensuite il a la capacité d'opérer des actions tel que:
• Télécharger un fichier
• Exécuter un fichier

Porte dérobée Serveur de contact:
Le suivant:
• http://rc.rizalof.com/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
• Le statut courant du malware

L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • SVCHOST.EXE

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

Informations divers Mutex:
Il crée le Mutex suivant:
• 3645FBCD-ECD2-23D0-BAC4-00DE453DEF6B

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Thu, 14 Sep 2006 14:16 (GMT+1)
Description mise à jour par Andrei Ivanes sur Wed, 18 Oct 2006 10:49 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour