TR/Drop.Delf.YX - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Drop.Delf.YX
La date de la découverte:	04/01/2007
Type:	Cheval de Troie
Sous type:	Dropper
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	109.056 Octets
Somme de contrôle MD5:	7084ec1ce75b6a3521df3e224d5421c7
Version VDF:	6.35.01.100
Version IVDF:	6.35.01.101

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Dropper.Win32.Delf.yx
   • Sophos: Troj/Delf-DKS
   • Grisoft: Dropper.Generic.GKO
   • Eset: Win32/TrojanDropper.Delf.YX
   • Bitdefender: Trojan.Downloader.Delf.ST

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

Fichiers Les fichiers suivants sont créés:

– %SYSDIR%\_LoadPlugin.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Delphi.Downloader.Gen

– %SYSDIR%\LoadPlugin.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Delphi.Downloader.Gen

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIPBOARD]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ClipBoard\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIPBOARD\0000]
   • "Service"="ClipBoard"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="ClipBoard"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIPBOARD\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="ClipBoard"

– [HKLM\SYSTEM\CurrentControlSet\Services\ClipBoard]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\LoadPlugin.exe"
     "DisplayName"="ClipBoard"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\ClipBoard\Enum]
   • "0"="Root\\LEGACY_CLIPBOARD\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• ASPack 2.12

Voir la description brève ici.

Description inséré par Monica Ghitun sur Thu, 04 Jan 2007 10:39 (GMT+1)
Description mise à jour par Monica Ghitun sur Thu, 11 Jan 2007 10:20 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour