Troj_Dloader-MK
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Dloader-MK crée l'entrée de registre suivante pour s'exécuter à l'ouverture d'une session :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
{nom de fichier du cheval de Troie}
{chemin du cheval de Troie}
Dloader-MK crée aussi les entrées de registre suivantes :
HKCR\CLSID\(random Class ID)\Data
DataD
{séquence d'octets hexadécimaux}
HKCR\CLSID\(random Class ID)\Data
(default)
{séquence d'octets hexadécimaux}
HKCR\CLSID\(random Class ID)\Data
DataE
{numéro aléatoire}
HKCR\CLSID\(random Class ID)\Data
DataB
{numéro aléatoire}
HKCR\CLSID\(random Class ID)\LocalServer
(default)
{chemin du cheval de Troie}
Une fois installé, le cheval de Troie affiche une fausse boîte de message intitulée 'Windows Security Center' et contenant le texte 'WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords.'
Si l'utilisateur clique sur le bouton Oui, Dloader-MK ouvre Internet Explorer pour indiquer le site d'un moteur de recherche distant. Si l'utilisateur clique sur le bouton Non, la boîte de message se ferme.
Quelle que soit l'option choisie par l'utilisateur, celles-ci entraînent ensuite l'installation par le cheval de Troie d'une icône de notification qui ouvre une bulle contenant le message de conseil suivant :
'Your computer might be at risk
- Your virus protection status is bad
- Spyware Activity Detected.
Click this balloon to fix this problem'
Dès que l'utilisateur clique sur la bulle, Dloader-MK crée un processus Internet Explorer qui tente de se connecter à un site Web distant et de télécharger un fichier de données d'aide HTML Microsoft Windows (CHM).
Le cheval de Troie tente aussi de télécharger silencieusement des fichiers depuis d'autres sites Web distants puis de les exécuter.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Dloader-MK crée l'entrée de registre suivante pour s'exécuter à l'ouverture d'une session :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
{nom de fichier du cheval de Troie}
{chemin du cheval de Troie}
Dloader-MK crée aussi les entrées de registre suivantes :
HKCR\CLSID\(random Class ID)\Data
DataD
{séquence d'octets hexadécimaux}
HKCR\CLSID\(random Class ID)\Data
(default)
{séquence d'octets hexadécimaux}
HKCR\CLSID\(random Class ID)\Data
DataE
{numéro aléatoire}
HKCR\CLSID\(random Class ID)\Data
DataB
{numéro aléatoire}
HKCR\CLSID\(random Class ID)\LocalServer
(default)
{chemin du cheval de Troie}
Une fois installé, le cheval de Troie affiche une fausse boîte de message intitulée 'Windows Security Center' et contenant le texte 'WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords.'
Si l'utilisateur clique sur le bouton Oui, Dloader-MK ouvre Internet Explorer pour indiquer le site d'un moteur de recherche distant. Si l'utilisateur clique sur le bouton Non, la boîte de message se ferme.
Quelle que soit l'option choisie par l'utilisateur, celles-ci entraînent ensuite l'installation par le cheval de Troie d'une icône de notification qui ouvre une bulle contenant le message de conseil suivant :
'Your computer might be at risk
- Your virus protection status is bad
- Spyware Activity Detected.
Click this balloon to fix this problem'
Dès que l'utilisateur clique sur la bulle, Dloader-MK crée un processus Internet Explorer qui tente de se connecter à un site Web distant et de télécharger un fichier de données d'aide HTML Microsoft Windows (CHM).
Le cheval de Troie tente aussi de télécharger silencieusement des fichiers depuis d'autres sites Web distants puis de les exécuter.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
