Troj_Glieder-T
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 37888 Octet(s)
Détails techniques:
Glieder-T peut arriver dans la pièce-jointe d'un e-mail sous le nom "Make.rar".
A son exécution, Glieder-T crée 2 fichiers dans le répertoire %Temp% en utilisant un nom de fichier généré temporairement.
Par exemple :
- %Temp%\~1.txt
- %Temp%\~1.exe (programme principal)
N.B. : Le cheval de Troie détermine l'emplacement du dossier temporaire de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.
Le contenu du fichier texte s'affiche :
Sorry.
Quand le programme principal est lancé, il se copie sous le nom :
%System%\winshost.exe
Glieder-T applique les modifications de registres suivantes pour que winshost.exe soit lancé à chaque démarrage de Windows :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winshost.exe = "%System%\winshost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winshost.exe = "%System%\winshost.exe"
Glieder-T dépose également un autre composant %System%\wiwshost.exe (18944 octets). Ce fichier est en fait un composant DLL (Dynamic Link Library) qui est injecté dans le processus Explorer.exe, afin de cacher son exécution derrière ce dernier.
N.B. : Glieder-T détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Glieder-T tente de télécharger et de sauvegarder un fichier sous le nom %Windir%\ile.exe depuis les sites suivants :
www.21ebuild.com
www.51.net
www.acsohio.com
www.agria.hu
www.andi.com.vn
www.angham.de
www.ascolfibras.com
www.automobilonline.de
www.bangyan.cn
www.beall-cpa.com
www.bolz.at
www.bs-security.de
www.centrovestecasa.it
www.checkonemedia.nl
www.contentproject.com
www.cz-wanjia.com
www.czwanqing.com
www.czzm.com
www.datanet.hu
www.designgong.org
www.dgy.com.cn
www.die-fliesen.de
www.discoteka-funfactory.com
www.dom-invest.com.pl
www.eagle.com.cn
www.eagleclub.com.cn
www.ehc.hu
www.elvis-presley.ch
www.engelhardtgmbh.de
www.externet.hu
www.fahrschule-herb.de
www.fahrschule-lesser.de
www.fermegaroy.com
www.festivalteatrooccidente.com
www.formholz.at
www.fotomax.fi
www.gemtrox.com.tw
www.gepeters.org
www.gimex-messzeuge.de
www.gomyhome.com.tw
www.gymzn.cz
www.hondenservice.be
www.idaf.de
www.idcs.be
www.ider.cl
www.inside-tgweb.de
www.izoli.sk
www.jcm-american.com
www.jeoushinn.com
www.jingjuok.com
www.jue-bo.com
www.kingsley.ch
www.marketvw.com
www.megaserve.net
www.mild.at
www.niko.de
www.nikogmbh.com
www.olva.com.pe
www.on24.ee
www.onlink.net
www.ppm-alliance.de
www.presley.ch
www.renegaderc.com
www.replayu.com
www.sachsenbuecher.de
www.sanjinyuan.com
www.scvanravenswaaij.nl
www.slovanet.sk
www.snsphoto.com
www.societaet.de
www.soeco.org
www.softmajor.ru
www.solt3.org
www.spacium.biz
www.speedcom.home.pl
www.spirit-in-steel.at
www.spoden.de
www.sportnf.com
www.spy.az
www.sqnsolutions.com
www.st-paulus-bonn.dehtdocs
www.stbs.com.hk
www.steripharm.com
www.students.stir.ac.uk
www.subsplanet.com
www.sungodbio.com
www.superbetcs.com
www.sweb.cz
www.sydolo.com
www.szdiheng.com
www.tcicampus.net
www.techni.com.cn
www.tg-sandhausen-basketball.de
www.th-mutan.com
www.thaifast.com
www.thaiventure.com
www.thefunkiest.com
www.thenextstep.tv
www.thetexasoutfitter.com
www.tmhcsd1987.friko.pl
www.toussain.be
www.trago.com.pt
www.travelourway.com
www.trgd.dobrcz.pl
www.triapex.cz
www.triptonic.ch
www.tv-marina.com
www.udc-cassinadepecchi.it
www.universe.sk
www.uspowerchair.com
www.uw.hu
www.vercruyssenelektro.be
www.vet24h.com
www.vinimeloni.com
www.vnn.vn
www.vnrvjiet.ac.in
www.vote2fateh.com
www.vw.press-bank.pl
www.wamba.asn.au
www.wdlp.co.za
www.welchcorp.com
www.wesartproductions.com
www.wilsonscountry.com
www.windstar.pl
www.wise-industries.com
www.witold.pl
www.wombband.com
www.x-treme.cz
www.xiantong.net
www.xmpie.com
www.xmtd.com
www.xojc.com
www.yannick-spruyt.be
www.yayadownload.com
www.yesterdays.co.za
www.yshkj.com
www.zakazcd.dp.ua
www.zenesoftware.com
www.zentek.co.za
www.zorbas.az
www.zsbersala.edu.sk
Il supprime tous les fichiers précédement téléchargés.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Le composant DLL ("winshost.exe") termine les processus d'antivirus et autres logiciels de sécurité :
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
UPGRADER.EXE
Glieder-T écrase le fichier HOSTS ("%System%\drivers\etc\hosts") afin de rediriger l'accès à certains sites vers le localhost, par exemple :
127.0.0.1 www.virustraq.com
127.0.0.1 virustraq.com
En l'ocurrence, Glieder-T redirige les sites suivants vers le localhost :
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
engine.awaps.net
f-secure.com
fastclick.net
ftp.avp.ch
ftp.downloads2.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
go.microsoft.com
ids.kaspersky-labs.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
updates1.kaspersky-labs.com
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky-labs.com
www.kaspersky.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com
Sur Windows 2000 et Windows XP, Glieder-T essaie d'arrêter et de désactiver le pare-feu (ICS : Internet Connection Sharing | ICF Internet Connection Firewall) et le Centre de Sécurité à Windows ("wscsvc" - uniquement sur Windows XP SP2).
Glieder-T essaie aussi d'arrêter puis de désactiver les services suivants :
Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVUPDService
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
fsbwsys
FSDFWD
FSMA
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SmcService
SNDSrvc
SPBBCSvc
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
wuauserv
XCOMM
Si elles existent, Glieder-T tente de supprimer les valeurs de registre suivantes :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\McAfee Guardian
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Zone Labs Client
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp
Et les clés de registre :
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\Zone Labs
Glieder-T tente de renommer les fichiers suivants (nom modifié sur la colonne de droite) :
SPBBCSvc.exe > SP1BBCSvc.exe
SNDSrvc.exe > SND1Srvc.exe
ccApp.exe > ccA1pp.exe
ccl30.dll > cc1l30.dll
LUALL.EXE > LUAL1L.EXE
AUPDATE.EXE > AUPD1ATE.EXE
Luupdate.exe > Luup1date.exe
RuLaunch.exe > RuLa1unch.exe
CMGrdian.exe > CM1Grdian.exe
Mcshield.exe > Mcsh1ield.exe
outpost.exe > outp1ost.exe
Avconsol.exe > Avc1onsol.exe
Vshwin32.exe > Vshw1in32.exe
VsStat.exe > Vs1Stat.exe
Avsynmgr.exe > Av1synmgr.exe
kavmm.exe > kav12mm.exe
Up2Date.exe > Up222Date.exe
KAV.exe > K2A2V.exe
avgcc.exe > avgc3c.exe
avgemc.exe > avg23emc.exe
zatutor.exe > zatu6tor.exe
isafe.exe > is5a6fe.exe
av.dll > zl5avscan.dll
vetredir.dll > vsvault.dll
cafix.exe > c6a5fix.exe
CCSETMGR.EXE > C1CSETMGR.EXE
CCEVTMGR.EXE > CC1EVTMGR.EXE
NAVAPSVC.EXE > NAV1APSVC.EXE
NPFMNTOR.EXE > NPFM1NTOR.EXE
symlcsvc.exe > s1ymlcsvc.exe
ccvrtrst.dll > ccv1rtrst.dll
LUINSDLL.DLL > LUI1NSDLL.DLL
zlclient.exe > zlcli6ent.exe
Taille: 37888 Octet(s)
Détails techniques:
Glieder-T peut arriver dans la pièce-jointe d'un e-mail sous le nom "Make.rar".
A son exécution, Glieder-T crée 2 fichiers dans le répertoire %Temp% en utilisant un nom de fichier généré temporairement.
Par exemple :
- %Temp%\~1.txt
- %Temp%\~1.exe (programme principal)
N.B. : Le cheval de Troie détermine l'emplacement du dossier temporaire de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.
Le contenu du fichier texte s'affiche :
Sorry.
Quand le programme principal est lancé, il se copie sous le nom :
%System%\winshost.exe
Glieder-T applique les modifications de registres suivantes pour que winshost.exe soit lancé à chaque démarrage de Windows :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winshost.exe = "%System%\winshost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winshost.exe = "%System%\winshost.exe"
Glieder-T dépose également un autre composant %System%\wiwshost.exe (18944 octets). Ce fichier est en fait un composant DLL (Dynamic Link Library) qui est injecté dans le processus Explorer.exe, afin de cacher son exécution derrière ce dernier.
N.B. : Glieder-T détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Glieder-T tente de télécharger et de sauvegarder un fichier sous le nom %Windir%\ile.exe depuis les sites suivants :
www.21ebuild.com
www.51.net
www.acsohio.com
www.agria.hu
www.andi.com.vn
www.angham.de
www.ascolfibras.com
www.automobilonline.de
www.bangyan.cn
www.beall-cpa.com
www.bolz.at
www.bs-security.de
www.centrovestecasa.it
www.checkonemedia.nl
www.contentproject.com
www.cz-wanjia.com
www.czwanqing.com
www.czzm.com
www.datanet.hu
www.designgong.org
www.dgy.com.cn
www.die-fliesen.de
www.discoteka-funfactory.com
www.dom-invest.com.pl
www.eagle.com.cn
www.eagleclub.com.cn
www.ehc.hu
www.elvis-presley.ch
www.engelhardtgmbh.de
www.externet.hu
www.fahrschule-herb.de
www.fahrschule-lesser.de
www.fermegaroy.com
www.festivalteatrooccidente.com
www.formholz.at
www.fotomax.fi
www.gemtrox.com.tw
www.gepeters.org
www.gimex-messzeuge.de
www.gomyhome.com.tw
www.gymzn.cz
www.hondenservice.be
www.idaf.de
www.idcs.be
www.ider.cl
www.inside-tgweb.de
www.izoli.sk
www.jcm-american.com
www.jeoushinn.com
www.jingjuok.com
www.jue-bo.com
www.kingsley.ch
www.marketvw.com
www.megaserve.net
www.mild.at
www.niko.de
www.nikogmbh.com
www.olva.com.pe
www.on24.ee
www.onlink.net
www.ppm-alliance.de
www.presley.ch
www.renegaderc.com
www.replayu.com
www.sachsenbuecher.de
www.sanjinyuan.com
www.scvanravenswaaij.nl
www.slovanet.sk
www.snsphoto.com
www.societaet.de
www.soeco.org
www.softmajor.ru
www.solt3.org
www.spacium.biz
www.speedcom.home.pl
www.spirit-in-steel.at
www.spoden.de
www.sportnf.com
www.spy.az
www.sqnsolutions.com
www.st-paulus-bonn.dehtdocs
www.stbs.com.hk
www.steripharm.com
www.students.stir.ac.uk
www.subsplanet.com
www.sungodbio.com
www.superbetcs.com
www.sweb.cz
www.sydolo.com
www.szdiheng.com
www.tcicampus.net
www.techni.com.cn
www.tg-sandhausen-basketball.de
www.th-mutan.com
www.thaifast.com
www.thaiventure.com
www.thefunkiest.com
www.thenextstep.tv
www.thetexasoutfitter.com
www.tmhcsd1987.friko.pl
www.toussain.be
www.trago.com.pt
www.travelourway.com
www.trgd.dobrcz.pl
www.triapex.cz
www.triptonic.ch
www.tv-marina.com
www.udc-cassinadepecchi.it
www.universe.sk
www.uspowerchair.com
www.uw.hu
www.vercruyssenelektro.be
www.vet24h.com
www.vinimeloni.com
www.vnn.vn
www.vnrvjiet.ac.in
www.vote2fateh.com
www.vw.press-bank.pl
www.wamba.asn.au
www.wdlp.co.za
www.welchcorp.com
www.wesartproductions.com
www.wilsonscountry.com
www.windstar.pl
www.wise-industries.com
www.witold.pl
www.wombband.com
www.x-treme.cz
www.xiantong.net
www.xmpie.com
www.xmtd.com
www.xojc.com
www.yannick-spruyt.be
www.yayadownload.com
www.yesterdays.co.za
www.yshkj.com
www.zakazcd.dp.ua
www.zenesoftware.com
www.zentek.co.za
www.zorbas.az
www.zsbersala.edu.sk
Il supprime tous les fichiers précédement téléchargés.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Le composant DLL ("winshost.exe") termine les processus d'antivirus et autres logiciels de sécurité :
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
UPGRADER.EXE
Glieder-T écrase le fichier HOSTS ("%System%\drivers\etc\hosts") afin de rediriger l'accès à certains sites vers le localhost, par exemple :
127.0.0.1 www.virustraq.com
127.0.0.1 virustraq.com
En l'ocurrence, Glieder-T redirige les sites suivants vers le localhost :
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
engine.awaps.net
f-secure.com
fastclick.net
ftp.avp.ch
ftp.downloads2.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
go.microsoft.com
ids.kaspersky-labs.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
updates1.kaspersky-labs.com
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky-labs.com
www.kaspersky.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com
Sur Windows 2000 et Windows XP, Glieder-T essaie d'arrêter et de désactiver le pare-feu (ICS : Internet Connection Sharing | ICF Internet Connection Firewall) et le Centre de Sécurité à Windows ("wscsvc" - uniquement sur Windows XP SP2).
Glieder-T essaie aussi d'arrêter puis de désactiver les services suivants :
Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVUPDService
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
fsbwsys
FSDFWD
FSMA
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SmcService
SNDSrvc
SPBBCSvc
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
wuauserv
XCOMM
Si elles existent, Glieder-T tente de supprimer les valeurs de registre suivantes :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\McAfee Guardian
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Zone Labs Client
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp
Et les clés de registre :
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\Zone Labs
Glieder-T tente de renommer les fichiers suivants (nom modifié sur la colonne de droite) :
SPBBCSvc.exe > SP1BBCSvc.exe
SNDSrvc.exe > SND1Srvc.exe
ccApp.exe > ccA1pp.exe
ccl30.dll > cc1l30.dll
LUALL.EXE > LUAL1L.EXE
AUPDATE.EXE > AUPD1ATE.EXE
Luupdate.exe > Luup1date.exe
RuLaunch.exe > RuLa1unch.exe
CMGrdian.exe > CM1Grdian.exe
Mcshield.exe > Mcsh1ield.exe
outpost.exe > outp1ost.exe
Avconsol.exe > Avc1onsol.exe
Vshwin32.exe > Vshw1in32.exe
VsStat.exe > Vs1Stat.exe
Avsynmgr.exe > Av1synmgr.exe
kavmm.exe > kav12mm.exe
Up2Date.exe > Up222Date.exe
KAV.exe > K2A2V.exe
avgcc.exe > avgc3c.exe
avgemc.exe > avg23emc.exe
zatutor.exe > zatu6tor.exe
isafe.exe > is5a6fe.exe
av.dll > zl5avscan.dll
vetredir.dll > vsvault.dll
cafix.exe > c6a5fix.exe
CCSETMGR.EXE > C1CSETMGR.EXE
CCEVTMGR.EXE > CC1EVTMGR.EXE
NAVAPSVC.EXE > NAV1APSVC.EXE
NPFMNTOR.EXE > NPFM1NTOR.EXE
symlcsvc.exe > s1ymlcsvc.exe
ccvrtrst.dll > ccv1rtrst.dll
LUINSDLL.DLL > LUI1NSDLL.DLL
zlclient.exe > zlcli6ent.exe
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
