TR/Dldr.Small.ddp.28 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.Small.ddp.28
La date de la découverte:	29/01/2007
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	20.992 Octets
Somme de contrôle MD5:	3aaaefdb982155056c3ee1707f65f2aa
Version VDF:	6.37.00.218
Version IVDF:	6.37.00.236

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: AZESearch.dll
   • Kaspersky: Trojan-Downloader.Win32.Small.ddp
   • F-Secure: Trojan-Downloader.Win32.Small.ddp
   • Sophos: Troj/DropRun-D
   • Panda: Adware/TrustIn
   • Eset: Win32/TrojanDownloader.Small.DDP
   • Bitdefender: Trojan.Downloader.Small.BFI

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Le fichier suivant est créé:

– %WINDIR%\inetloader.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.ddp.32

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
• regsvr32.exe
Il exécute le fichier avec les paramètres suivantes : /s "%WINDIR%\inetloader.dll"

Registre Il enregistre un objet d'aide du navigateur en ajoutant les clés suivantes:

– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\InprocServer32]
   • (Default)="%WINDIR%\inetloader.dll"
   • ThreadingModel="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{f015f320-ab08-11db-abbd-0800200c9a66}]

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\TrustIn\Weekly Executer]
   • LastCfgFetchHigh=%numéro hexadécimal%
   • LastCfgFetchLow=%numéro hexadécimal%

– [HKCU\Software\TrustIn]

– [HKCR\InetLoader.WeeklyExecuter.1]
   • (Default)="WeeklyExecuter Class"

– [HKCR\InetLoader.WeeklyExecuter.1\CLSID]
   • (Default)="{f015f320-ab08-11db-abbd-0800200c9a66}"

– [HKCR\InetLoader.WeeklyExecuter]
   • (Default)="WeeklyExecuter Class"

– [HKCR\InetLoader.WeeklyExecuter\CLSID]
   • (Default)="{f015f320-ab08-11db-abbd-0800200c9a66}"

– [HKCR\InetLoader.WeeklyExecuter\CurVer]
   • (Default)="InetLoader.WeeklyExecuter.1"

– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}]
   • (Default)="WeeklyExecuter Class"

– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\ProgID]
   • (Default)="InetLoader.WeeklyExecuter.1"

– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\
   VersionIndependentProgID]
   • (Default)="InetLoader.WeeklyExecuter"

– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\
   Programmable]

– [HKCR\CLSID\{f015f320-ab08-11db-abbd-0800200c9a66}\TypeLib]
   • (Default)="{d0460760-ab08-11db-abbd-0800200c9a66}"

Porte dérobée Serveur de contact:
Le suivant:
   • http://adscontex.com/dir/**********

En conséquence la possibilité de contrôle à distance est fournie.

Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Thu, 21 Jun 2007 14:21 (GMT+1)
Description mise à jour par Andrei Gherman sur Thu, 21 Jun 2007 14:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour