TR/Fotomoto.F.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Fotomoto.F.1
La date de la découverte:	07/11/2007
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	71.232 Octets
Somme de contrôle MD5:	d724dfe9790E373d1b92b3a35c1d0E49
Version IVDF:	7.00.00.182

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: Vundo.dr trojan
   • Kaspersky: Trojan.Win32.Obfuscated.kp
   • F-Secure: Trojan.Win32.Obfuscated.kp
   • Panda: Spyware/Virtumonde
   • Grisoft: Obfustat.VUL
   • Eset: Win32/Adware.Ezula application

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%le dossier d'exécution du malware%\%le fichier exécuté% \service"
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"= %valeurs hexa%
   • "Description"="DomainService"

La valeur de la clé de registre suivante est supprimée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • DDC

Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'exécution du malware%\\%le fichier
      exécuté%"="%le dossier d'exécution du malware%\\%le
      fichier exécuté%:"

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\DomainService]

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "SFCDisable" = 0
   La nouvelle valeur:
   • "SFCDisable" = 4

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://24.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php

Il envoie de l'information au sujet de:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Télécharger un fichier
    • Visiter un site web

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPolyX v0.5

Voir la description brève ici.

Description inséré par Thomas Wegele sur Fri, 07 Dec 2007 09:09 (GMT+1)
Description mise à jour par Thomas Wegele sur Fri, 07 Dec 2007 13:36 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour