TR/Virtumonde.26730 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Virtumonde.26730
La date de la découverte:	02/04/2007
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	26730 Octets
Somme de contrôle MD5:	731396df61f1cedc2b70ab33ebb0c0b3
Version VDF:	6.38.00.161
Version IVDF:	6.38.00.165

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\%chaîne de caractères aléatoire de cinq digits%.dll

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://89.188.16.15/ths/lo1.dll**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\%chaîne de caractères aléatoire de cinq digits%.dll Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%le temps courant%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%numéro hexadécimal%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %le fichier exécuté%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%le fichier exécuté%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000

Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "1A10"=%réglages définis par l'utilisateur%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%numéro hexadécimal%

Porte dérobée Serveur de contact:
Le suivant:
• http://65.243.103.80/80/67247**********&t=%la date courante%**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Tous les processus suivants:
   • Explorer.exe
   • Winlogon.exe
   • %Processus avec les fenêtres visibles%

Informations divers Mutex:

Il crée un des Mutex suivants:
• _ConsprMutx
• awx_mutant

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Monica Ghitun sur Thu, 19 Apr 2007 09:24 (GMT+1)
Description mise à jour par Monica Ghitun sur Thu, 19 Apr 2007 12:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back