TR/Small.DBY.AF.3 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Small.DBY.AF.3
La date de la découverte:	14/02/2007
Type:	Cheval de Troie
Sous type:	SPY
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible
Fichier statique:	Oui
Taille du fichier:	37.747 Octets
Somme de contrôle MD5:	8617ab4e033c0853cf1766de30cf6589
Version VDF:	6.37.01.91
Version IVDF:	6.37.01.92

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Email-Worm.Win32.Zhelatin.ab
   • Eset: Win32/Nuwar.gen worm
   • Bitdefender: Trojan.Peed.ET

Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers

Fichiers Les fichiers suivants sont créés:

– Fichier inoffensif:
• %SYSDIR%\wincom32.ini

– %SYSDIR%\wincom32.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Small.DBY.M.1

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
• "\??\%SYSDIR%\wincom32.sys"

Infection du réseau La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: wincom32.sys

Nom du processus:
• %SYSDIR%\services.exe

La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Sa propre clé de registre

La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PEPACK

Voir la description brève ici.

Description inséré par Viktor Graeber sur Wed, 25 Apr 2007 10:43 (GMT+1)
Description mise à jour par Viktor Graeber sur Fri, 27 Apr 2007 12:58 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour