Troj_ConycSp-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsque le troyen est exécuté, il effectue les opérations suivantes :
1. Il se copie lui même en tant que %Windir%\inetg\services.exe.
Note: %Windir% est une variable qui dépend du répertoire d'installation de Windows. Par défaut, ce répertoire est soit C:\Windows, soit C:\Winnt.
2. Il ajoute la valeur suivante:
"xp_system" = "%Windir%\inetg\services.exe"
à la clé de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dans le but d'être exécuté à chaque démarrage de sessions Windows.
3. Il ajoute ensuite la valeur suivante:
"xp_system" = "%Windir%\inetg\services.exe"
à la clé de registre:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dans le but d'être exécuté à chaque démarrage de sessions Windows.
4. Il ajoute ensuite la valeur suivante:
"run" = "%Windir%\inetg\services.exe"
à la clé de registre:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
dans le but d'être exécuté à chaque démarrage de sessions Windows.
5. Puis il ajoute la clé de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
6. Ajoute les lignes suivantes au fichier %Windir%\system.ini:
load=%Windir%\inetg\services.exe
7. Envoie un courriel à toutes les adresses électroniques trouvées dans le carnet d'adresse de Windows. Le courriel ayant les caractéristiques suivantes :
From: girl@worldgirls.com
Subject: Re: hot pics
Body:
Hello, mate!
Just found this hot teen girl, if you want you can see here:
[Link to the domain nude-teens-bodies.com]
sweet body and hot tits!
reply me what you think about
Le courriel contient des liens iframe cachés vers un site web du nom de domaine "conyc.com".
8. Il télécharge un fichier distant en utilisant ces liens iframe afin d'exploiter les vulnérabilités suivantes :
Microsoft Java Virtual Machine Bytecode Verifier Vulnerability (MS99-045).
Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability (MS04-013).
9. Il installe également le fichier %System%\q123.vbs.
Note: '%System%' est une variable locale. ConycSp-A détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
10. Il télécharge et exécute le fichier %System%\sm.exe.
11. Il télécharge le fichier commands.ini du domaine "conyc.com". Ce fichier contient des URLs pointant vers le domaine "conyc.com" permettant de télécharger et exécuter la liste de programmes suivants :
Trojan.Adclicker.A
Adware.CWSConyc
Dialer.Webview
Dialer.Thehun
Adware.CWSConyc
W32.Conycspa@mm
Taille: Inconnue
Détails techniques:
Lorsque le troyen est exécuté, il effectue les opérations suivantes :
1. Il se copie lui même en tant que %Windir%\inetg\services.exe.
Note: %Windir% est une variable qui dépend du répertoire d'installation de Windows. Par défaut, ce répertoire est soit C:\Windows, soit C:\Winnt.
2. Il ajoute la valeur suivante:
"xp_system" = "%Windir%\inetg\services.exe"
à la clé de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dans le but d'être exécuté à chaque démarrage de sessions Windows.
3. Il ajoute ensuite la valeur suivante:
"xp_system" = "%Windir%\inetg\services.exe"
à la clé de registre:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dans le but d'être exécuté à chaque démarrage de sessions Windows.
4. Il ajoute ensuite la valeur suivante:
"run" = "%Windir%\inetg\services.exe"
à la clé de registre:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
dans le but d'être exécuté à chaque démarrage de sessions Windows.
5. Puis il ajoute la clé de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
6. Ajoute les lignes suivantes au fichier %Windir%\system.ini:
load=%Windir%\inetg\services.exe
7. Envoie un courriel à toutes les adresses électroniques trouvées dans le carnet d'adresse de Windows. Le courriel ayant les caractéristiques suivantes :
From: girl@worldgirls.com
Subject: Re: hot pics
Body:
Hello, mate!
Just found this hot teen girl, if you want you can see here:
[Link to the domain nude-teens-bodies.com]
sweet body and hot tits!
reply me what you think about
Le courriel contient des liens iframe cachés vers un site web du nom de domaine "conyc.com".
8. Il télécharge un fichier distant en utilisant ces liens iframe afin d'exploiter les vulnérabilités suivantes :
Microsoft Java Virtual Machine Bytecode Verifier Vulnerability (MS99-045).
Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability (MS04-013).
9. Il installe également le fichier %System%\q123.vbs.
Note: '%System%' est une variable locale. ConycSp-A détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
10. Il télécharge et exécute le fichier %System%\sm.exe.
11. Il télécharge le fichier commands.ini du domaine "conyc.com". Ce fichier contient des URLs pointant vers le domaine "conyc.com" permettant de télécharger et exécuter la liste de programmes suivants :
Trojan.Adclicker.A
Adware.CWSConyc
Dialer.Webview
Dialer.Thehun
Adware.CWSConyc
W32.Conycspa@mm
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
