TR/Dldr.FraudLo.sxm - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.FraudLo.sxm
La date de la découverte:	13/07/2009
Type:	Risque pour la sécurité du caractère privé
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible
Fichier statique:	Non
Version VDF:	7.01.04.223

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
   • F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
   • Eset: Win32/Kryptik.AAL

La plateforme / le système d'exploitation:
   • Windows XP

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %program files%\HomeAntivirus2010\Uninstall.exe

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
   • %program files%\HomeAntivirus2010\data\daily.cvd
   • %program files%\HomeAntivirus2010\pthreadVC2.dll
   • %program files%\HomeAntivirus2010\htmlayout.dll
   • \%mots aléatoires%

– Des fichiers qui peuvent être supprimés après:
   • %tempdir%\prm%nombre%
   • %tempdir%\wr%nombre%
   • %tempdir%\clamav-%32 random hexa numbers%\daily.db
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
   • %tempdir%\clamav-%32 random hexa numbers%\daily.fp
   • %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.info

– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Ensuite, il est exécuté après avoir été completment crée. Détecté comme: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\AVEngn.dll Détecté comme: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\wscui.cpl Détecté comme: TR/Dldr.FraudLo.sxm

– %systemdir%\_scui.cpl Détecté comme: TR/Dldr.FraudLo.sxm

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesSC.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

– L'emplacement est le suivant:
   • http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Home Antivirus 2010"="\"%PROGRAM FILES%\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Control Panel\don't load]
   • "scui.cpl"="No"
   • "wscui.cpl"="No"

– [HKLM\SOFTWARE\HomeAntivirus2010]
   • "info"="%la date courante%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   HomeAntivirus2010]
   • "DisplayName"="Home Antivirus 2010"
   • "UninstallString"="%PROGRAM FILES%\HomeAntivirus2010\Uninstall.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "FirewallDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "FirewallDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=dword:00000000
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001

Voir la description brève ici.

Description inséré par Mihai Dilimot sur Mon, 10 Aug 2009 13:05 (GMT+1)
Description mise à jour par Mihai Dilimot sur Tue, 11 Aug 2009 09:43 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour