Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
Nom:BDS/MSIL.Pontoeb.G.106
La date de la dcouverte:23/09/2012
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Taille du fichier:18.944 Octets
Somme de contrle MD5:0A800A054ebbd515013de453fc3f501f
Version VDF:7.11.43.234 - dimanche 23 septembre 2012
Version IVDF:7.11.43.234 - dimanche 23 septembre 2012

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Bitdefender: Trojan.Generic.8966001
     AVG: BackDoor.Generic16.CNMF
   •  Eset: a variant of MSIL/IRCBot.AS trojan
     Norman: W32/Troj_Generic.KHHOV


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • C:\winsrvc86.exe

 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winsrvc86"="\\winsrvc86.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winsrvc86"="\\winsrvc86.exe"



Les cls de registre suivantes sont ajoute:

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAPISRV\0000\Control]
   • "ActiveService"="TapiSrv"

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RASMAN\0000\Control]
   • "ActiveService"="RasMan"

[HKLM\SECURITY\Policy\Secrets\SAI]
   • @=hex:98,91,2c,47,d1,d1,cc,01

[HKLM\SECURITY\Policy\Secrets\SAC]
   • @=hex:f2,f3,2e,47,d1,d1,cc,01

 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • 231.231.1**********.188

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C#.

Descrição enviada por Wensin Lee em quinta-feira, 18 de abril de 2013
Descrição atualizada por Wensin Lee em quinta-feira, 18 de abril de 2013

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.