Troj_Winshow-BD
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 29256 Octet(s)
Détails techniques:
Quand il est exécuté, Winshow-BD ajoute les entrées de registre suivantes afin de s'exécuter à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\{nom_fichier.exe} = {chemin}\{nom_fichier.exe}
HKCR\CLSID\{unique_id}\LocalServer\(Default) = {chemin}\{nom_fichier.exe}
N.B. : {chemin} est l'endroit où le cheval de Troie a été exécuté et {nom_fichier.exe} est le nom du fichier infecté.
Winshow-BD télécharge et exécute un certain nombre de fichiers DLL (Dynamic Link Library) et d'exécutables sur différents sites. Ces fichiers atterrissent dans le répertoire %System%, mais peuvent très bien atterrir dans le répertoire %Windir%. Ces fichiers sont exécutés en utilisant l'un des noms de fichiers suivants, qui est combiné avec 2 lettres générées aléatoirement et la valeur "32" :
sdk
java
cr
d3
ms
ie
sys
win
add
app
atl
mfc
api
net
ip
nt
Par exemple : javaqj32.dll
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT. Winshow-BD détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
A l'heure de cette publication, les fichiers n'étaient plus disponibles sur les sites spécifiés.
Le cheval de Troie est capable de se faire passer pour le conseiller de sûreté "Windows Security Advisor", faisant croire aux utilisateurs qu'ils sont infectés d'un spyware.
Le cheval de Troie ouvre régulièrement une bulle informant l'utilisateur que l'ordinateur est infecté d'un spyware (voir capture d'écran).
Si l'utilisateur interagi avec la bulle, le cheval de Troie ouvre un fichier d'aide CHM se faisant passer pour une page de sécurité Microsoft (ce fichier d'aide CHM atterrit soit dans "%Windows%\help\CHMhelp.chm", soit dans "System%\help\CHMhelp.chm", soit dans "C:\Windows\help\CHMhelp.chm").
Ensuite, les utilisateurs sont incités à télécharger le logiciel "Anti-Spyware" sous l'apparence d'un produit de chez Microsoft. A l'heure de cette publication ces liens n'étaient plus actifs.
Le cheval de Troie affiche régulièrement un message (voir capture d'écran).
Quand le bouton "Yes" est pressé, le cheval de Troie ouvre le navigateur par défaut et se connecte à un site particulier.
Winshow-BD crée aussi l'entrée de registre suivante, pour stocker des données :
HKCR\CLSID\{unique_id}\Data
Capture(s) d'écran:
Taille: 29256 Octet(s)
Détails techniques:
Quand il est exécuté, Winshow-BD ajoute les entrées de registre suivantes afin de s'exécuter à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\{nom_fichier.exe} = {chemin}\{nom_fichier.exe}
HKCR\CLSID\{unique_id}\LocalServer\(Default) = {chemin}\{nom_fichier.exe}
N.B. : {chemin} est l'endroit où le cheval de Troie a été exécuté et {nom_fichier.exe} est le nom du fichier infecté.
Winshow-BD télécharge et exécute un certain nombre de fichiers DLL (Dynamic Link Library) et d'exécutables sur différents sites. Ces fichiers atterrissent dans le répertoire %System%, mais peuvent très bien atterrir dans le répertoire %Windir%. Ces fichiers sont exécutés en utilisant l'un des noms de fichiers suivants, qui est combiné avec 2 lettres générées aléatoirement et la valeur "32" :
sdk
java
cr
d3
ms
ie
sys
win
add
app
atl
mfc
api
net
ip
nt
Par exemple : javaqj32.dll
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT. Winshow-BD détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
A l'heure de cette publication, les fichiers n'étaient plus disponibles sur les sites spécifiés.
Le cheval de Troie est capable de se faire passer pour le conseiller de sûreté "Windows Security Advisor", faisant croire aux utilisateurs qu'ils sont infectés d'un spyware.
Le cheval de Troie ouvre régulièrement une bulle informant l'utilisateur que l'ordinateur est infecté d'un spyware (voir capture d'écran).
Si l'utilisateur interagi avec la bulle, le cheval de Troie ouvre un fichier d'aide CHM se faisant passer pour une page de sécurité Microsoft (ce fichier d'aide CHM atterrit soit dans "%Windows%\help\CHMhelp.chm", soit dans "System%\help\CHMhelp.chm", soit dans "C:\Windows\help\CHMhelp.chm").
Ensuite, les utilisateurs sont incités à télécharger le logiciel "Anti-Spyware" sous l'apparence d'un produit de chez Microsoft. A l'heure de cette publication ces liens n'étaient plus actifs.
Le cheval de Troie affiche régulièrement un message (voir capture d'écran).
Quand le bouton "Yes" est pressé, le cheval de Troie ouvre le navigateur par défaut et se connecte à un site particulier.
Winshow-BD crée aussi l'entrée de registre suivante, pour stocker des données :
HKCR\CLSID\{unique_id}\Data
Capture(s) d'écran:
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
