Need help? Ask the community or hire an expert.
Go to Avira Answers
Nom:TR/Ircbrute.A.41
La date de la découverte:26/05/2009
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:380.341 Octets
Somme de contrôle MD5:6845f2142762e16f27954662b5ffcd00
Version VDF:7.01.04.18
Version IVDF:7.01.04.19 - mardi 26 mai 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Bitdefender: Trojan.Generic.8995027
   •  AVG: Generic8_c.CXJ


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Peut être utilisé pour exécuter un code malveillant
   • Il modifie des registres

 Fichiers Le fichier suivant est créé:

– Fichier inoffensif:
   • %temporary internet files%\Content.IE5\G9YZGDQJ\ip2country.hackers[1].htm

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Wind Update Agent"="C:\WindowsDirectory\systembinx64.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wind Updater Agenta"="C:\WindowsDirectory\systembinx64.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoSaveSettings"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"="dword:0x00000000"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableChangePassword"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   • "LockTaskbar"="dword:0x00000001"

 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • ip2**********.hackers.lv
   • %chaîne de caractères aléatoire%.INFO


Gestionnaire d’événements:
Il crée les gestionnaires d’événements suivants:
   • GetProcessWindowStation
   • FileTimeToLocalFileTime
   • LocalFileTimeToFileTime
   • LookupPrivilegeValueW
   • GetVolumeInformationW
   • SetSystemPowerState
   • DRIVEGETFILESYSTEM
   • LoadUserProfileW
   • RemoveDirectoryW
   • CreateDirectoryW
   • DuplicateHandle
   • GetStartupInfoW
   • DeviceIoControl


Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • AUTOIT NO CMDEXECUTE<<<
   • TCPNAMETOIP
   • TCPSHUTDOWN

Beschrijving ingevoegd door Wensin Lee op maandag 29 april 2013
Beschrijving bijgewerkt door Wensin Lee op maandag 29 april 2013

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.