TR/Spy.Goldun.axt - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Goldun.axt
La date de la découverte:	12/09/2008
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	34.931 Octets
Somme de contrôle MD5:	6ba40E29db8fb6f9145fde7a45708875
Version IVDF:	7.00.06.149

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: Spy-Agent.bg trojan
   • Kaspersky: Trojan-Spy.W32.Goldun.axt
   • F-Secure: Trojan-Spy:W32/Goldun.RR
   • Sophos: Troj/Meredrop-A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

Fichiers Les fichiers suivants sont créés:

– Fichier inoffensif:
• %SYSDIR%\k86.bin

– %SYSDIR%\cabpck.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Goldun.axn

– %SYSDIR%\krnlcab.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://social-bos.biz/**********/data.php**********

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   krnlcab.sys]
   • @="Driver"

On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   cabpck]
   • DllName=hex(2):%valeurs hexa% (cabpck.dll)
   • Startup="cabpck"
   • mpersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • a950="[FA5BF78BD77A4464E]"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valeurs hexa% (system32\krnlcab.sys)
   • "DisplayName"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Enum]
   • "0"="Root\\LEGACY_KRNLCAB\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier exécuté% "="%le fichier exécuté%
      :*:Enabled:rundll32"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000]
   • "Service"="krnlcab"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="krnlcab"

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Alexander Neth sur Fri, 12 Sep 2008 07:13 (GMT+1)
Description mise à jour par Alexander Neth sur Fri, 12 Sep 2008 07:36 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour