TR/PSW.Age.IM.133.C - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/PSW.Age.IM.133.C
La date de la découverte:	13/12/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	18.180 Octets
Somme de contrôle MD5:	8c2a06afed6325621832d9f5f654b351
Version VDF:	6.37.00.08
Version IVDF:	6.37.00.08

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-PSW.Win32.Agent.im
   • F-Secure: Trojan-PSW.Win32.Agent.im
   • Sophos: Troj/PWS-ADS
   • Grisoft: PSW.Agent.EBH
   • Bitdefender: Trojan.PWS.Agent.FT

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il supprime le fichier suivant:
• %SYSDIR%\drivers\etc\hosts

Le fichier suivant est créé:

– %SYSDIR%\bdscheca100.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Age.IM.133.C

Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}"=""

– [HKCR\CLSID\{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}]
– [HKCR\CLSID\{9C0CFA58-3A6F-51ba-9EFE-5320F4F62FB1}\InProcServer32]
   • @="%SYSDIR%\bdscheca100.dll"
   • "ThreadingModel"="Apartment"

Porte dérobée Serveur de contact:
Le suivant:
• http://www.tinggoo.com/zt/**********

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
• Les informations rassemblées, décrites dans la section

Vol d'informations Il essaie de voler l'information suivante:

– Le mot de passe du programme suivant:
• Zhengtu

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: bdscheca100.dll

Nom du processus :
• %tous les processus en exécution"

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Adriana Popa sur Wed, 10 Jan 2007 09:55 (GMT+1)
Description mise à jour par Adriana Popa sur Wed, 10 Jan 2007 14:38 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour