ADSPY/Virtumonde.B - Adware / Spyware

A voir aussi

Brève description

Description complète

Statistiques

Nom:	ADSPY/Virtumonde.B
La date de la découverte:	14/06/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	47.629 Octets
Somme de contrôle MD5:	5b00c4a26bfb132b7c5b8692949d227b
Version VDF:	6.35.00.23
Version IVDF:	6.35.00.29

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   • TrendMicro: TROJ_VUNDO.BC
   • Bitdefender: Trojan.Virtumod.T

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %SYSDIR%\%chaîne de caractères aléatoire de sept digits%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/Virtumonde.B

– %TEMPDIR%\removalfile.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Registre Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%chaîne de caractères aléatoire de sept digits%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%chaîne de caractères aléatoire de sept digits%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Télécharger un fichier

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\%chaîne de caractères aléatoire de sept digits%.dll

    Tous les processus suivants:
   • explorer.exe
   • WINLOGON.EXE

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Wed, 06 Sep 2006 14:05 (GMT+1)
Description mise à jour par Andrei Ivanes sur Tue, 05 Dec 2006 11:46 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour