Laboratoire antivirus Avira

‹ Retour

TR/Crypt.Xpack.zcrzz

Brève description
  • Nom
    TR/Crypt.Xpack.zcrzz
  • La date de la découverte
    17 juil. 2017
  • Version VDF
    7.14.17.194 (2017-07-17 11:42)
Description complète

Le terme « TR » désigne un cheval de Troie qui est en mesure d’espionner vos données, de porter atteinte à votre vie privée et qui peut effectuer des modifications indésirables sur le système.

  • VDF
    7.14.17.194 (2017-07-17 11:42)
  • Fichiers
    Les fichiers suivants sont modifiés:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %SYSDIR%\wbem\Logs\wbemprox.log
    Les fichiers suivants sont créés:
    • %TEMPDIR%\cf67_appcompat.txt
  • Injections
    • %SYSDIR%\svchost.exe{<-\RPC Control\epmapper}
    • %SYSDIR%\lsass.exe{<-\LsaAuthenticationPort}
    • %SYSDIR%\svchost.exe{<-\RPC Control\DNSResolver}
    • %DISKDRIVE%\run\sample(8).exe{<-\RPC Control\OLE95F88E72585D4FBAB3BAF4590466}
    • %SYSDIR%\svchost.exe{<-\RPC Control\IcaApi}
  • Registre
    Les entrées de registre suivantes sont ajoutées:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappcfg] "LogSessionName" = "stdout" "Active" = dword:00000001 "ControlFlags" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappcfg\traceIdentifier] "Guid" = "5f31090b-d990-4e91-b16d-46121d0255aa" "BitNames" = " Error Unusual Info Debug"
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappprxy] "LogSessionName" = "stdout" "Active" = dword:00000001 "ControlFlags" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappprxy\traceIdentifier] "Guid" = "5f31090b-d990-4e91-b16d-46121d0255aa" "BitNames" = " Error Unusual Info Debug"
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\QUtil] "LogSessionName" = "stdout" "Active" = dword:00000001 "ControlFlags" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\QUtil\traceIdentifier] "Guid" = "8aefce96-4618-42ff-a057-3536aa78233e" "BitNames" = " Error Unusual Info Debug"
    Les entrées de registre suivantes sont modifiées:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\sample(8)\DEBUG] "Trace Level" = ""
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT] "EventMessageFile" = "%SYSDIR%\ESENT.dll" "CategoryMessageFile" = "%SYSDIR%\ESENT.dll" "CategoryCount" = dword:00000010 "TypesSupported" = dword:00000007