TR/Dldr.FraudLoad.51200 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.FraudLoad.51200
La date de la découverte:	16/09/2009
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Moyen à élevé
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	51.200 Octets
Somme de contrôle MD5:	2277c47fd42f0D448dab0C97493e6acc
Version VDF:	7.01.05.247
Version IVDF:	7.01.05.249

Général Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

   Elevates itself with SeShutdownPrivilege in order to restart the system.

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %SYSDIR%\braviax.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Renos.56

– %SYSDIR%\dllcache\figaro.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

– %SYSDIR%\dllcache\beep.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

– %SYSDIR%\drivers\beep.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen

Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.FraudLoad.fnm

Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

La valeur de la clé de registre suivante est supprimée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky

Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   La nouvelle valeur:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• Mystic Compressor

Voir la description brève ici.

Description inséré par Petre Galan sur Wed, 16 Sep 2009 15:45 (GMT+1)
Description mise à jour par Petre Galan sur Wed, 16 Sep 2009 16:34 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour