//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
Accueil
Menaces
TR/PSW.Nilage.abh.1
Recherche
Accueil
Assistance
Solutions
Produits
Téléchargements
Menaces
Statistiques
Mappemonde de l'hameçonnage
Historique VDF
Science des virus
Envoyer l’échantillon
Actualités sur la sécurité
Virus "in the Wild"
Société
Presse
Partenaires
Bulletin d'information
TechBlog
TR/PSW.Nilage.abh.1 - Trojan
A voir aussi
Brève description
Description complète
Statistiques
Comment noteriez-vous cette information ?
Inutile
Excellente
Nom:
TR/PSW.Nilage.abh.1
La date de la découverte:
01/12/2006
Type:
Cheval de Troie
En circulation:
Non
Infections signalées
Faible
Potentiel de distribution:
Faible
Potentiel de destruction:
Moyen
Fichier statique:
Oui
Taille du fichier:
44.217 Octets
Somme de contrôle MD5:
9934b38446510bf7518207a0da22631c
Version VDF:
6.36.01.114
Version IVDF:
6.36.01.119
Général
Méthode de propagation:
• Il ne possède pas de propre routine de propagation
Les alias:
• Kaspersky: Trojan-PSW.Win32.Nilage.abh
• F-Secure: Trojan-PSW.Win32.Nilage.abh
• Eset: Win32/PSW.Legendmir
Plateformes / Systèmes d'exploitation:
• Windows 99
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effets secondaires:
• Il crée un fichier
• Il diminue les réglages de sécurité
• Il modifie des registres
• Il vole de l'information
Fichiers
Il s'autocopie dans les emplacements suivants:
•
%WINDIR%
\SERVICES.EXE
•
%SYSDIR%
\rundll32.com
•
%SYSDIR%
\finder.com
•
%WINDIR%
\finder.com
•
%SYSDIR%
\command.pif
•
%PROGRAM FILES%
\Internet Explorer\iexplore.com
•
%PROGRAM FILES%
\Common Files\iexplore.pif
•
%WINDIR%
\explorer.com
•
%WINDIR%
\1.com
•
%WINDIR%
\ExERoute.exe
•
%SYSDIR%
\MSCONFIG.COM
•
%SYSDIR%
\dxdiag.com
•
%SYSDIR%
\regedit.com
•
%WINDIR%
\Debug\DebugProgram.exe
• D:\pagefile.pif
Le fichier suivant est créé:
– D:\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
• [autorun]
OPEN=D:\pagefile.pif
Registre
La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Torjan Program"="
%WINDIR%
\SERVICES.EXE"
Les clés de registre suivantes sont ajoutée:
– [HKCR\winfiles]
– [HKCR\winfiles\DefaultIcon]
• @="%1"
– [HKCR\winfiles\Shell\Open\Command]
• @="
%WINDIR%
\ExERoute.exe "%1" %*"
Les clés de registre suivantes sont changées:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
L'ancienne valeur:
• "Check_Associations"=
%réglages définis par l'utilisateur%
La nouvelle valeur:
• "Check_Associations"="No"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
L'ancienne valeur:
• "Shell"="Explorer.exe"
La nouvelle valeur:
• "Shell"="Explorer.exe 1"
– [HKCR\.exe]
L'ancienne valeur:
• @="exefiles"
La nouvelle valeur:
• @="winfiles"
– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" -nohome"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" -nohome"
– [HKCR\Applications\iexplore.exe\shell\open\command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" %1"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" %1"
– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
OpenHomePage\Command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe""
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com""
– [HKCR\ftp\shell\open\command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" %1"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" %1"
– @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" %1"
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" -nohome"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" -nohome"
– [HKCR\htmlfile\shell\opennew\command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" %1"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\common~1\iexplore.pif" %1"
– [HKCR\http\shell\open\command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" -nohome"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\common~1\iexplore.pif" -nohome"
– [HKLM\SOFTWARE\Classes\http\shell\open\command]
L'ancienne valeur:
• @=""
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" -nohome"
La nouvelle valeur:
• @=""
%PROGRAM FILES%
\common~1\iexplore.pif" -nohome"
Arrêt de processus:
Les processus avec une des chaînes de caractères suivantes sont terminés:
• RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG;
IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA; TROJAN;
MMSK
Vol d'informations
Il essaie de voler l'information suivante:
– Les mots de passe des programmes suivants:
• World of Old Oriental Legends
• World of Warcraft
• Zhengtu
– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
• us.logon.worldofwarcraft.com
• eu.logon.worldofwarcraft.com
• tw.logon.worldofwarcraft.com
– Il capture:
• Information du compte
Détails de fichier
Langage de programmation:
Le fichier a été écrit en Visual Basic.
Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• NSPack
Voir la description brève
ici
.
Description inséré par Adriana Popa sur Thu, 04 Jan 2007 15:43 (GMT+1)
Description mise à jour par Adriana Popa sur Fri, 05 Jan 2007 10:12 (GMT+1)
»
À propos des logiciels malveillants
»
À propos de l'hameçonnage
»
Virus "in the Wild"
« Retour
Imprimer cette page
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
TR/Crypt.XPACK.Gen2
TR/Rootkit.Gen
PCK/NSIS.M
PCK/Dumped
PCK/Repacked
PCK/MEW
PCK/UPACK
Recevoir les informations actuelles d’Avira en tant que
Détection et suppression de certains logiciels malveillants et de leurs variantes
Télécharger ici
Intégrer un
avertissement sur un virus
sur votre site Internet
© 2010 Avira GmbH
Tous droits réservés
|
Domaine privé
|
Plan du site
|
Feedback
|
Marque d’impression
|
FAQ
|
Contact
Menaces TR/PSW.Nilage.abh.1
Imprimer cette page
.gif)
