Troj_CashGrab-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, CashGrab-A injecte les fichiers suivants :
UPDATE.SYS - fichier texte contenant une URL
SETUP.CMD - fichier batch DOS utilisé pour supprimer les fichiers d'installation du cheval de Troie
%SYSTEM%\WINDOWS.IDN - fichier texte contenant des données
%SYSTEM%\WINST.MSI - fichier texte contenant une URL
%SYSTEM%\MSUPDATE.DLL - détecté sous le nom de CashGrab-A
%SYSTEM%\WINSETUP.EXE - détecté sous le nom de CashGrab-A
Pour être exécuté automatiquement à chaque démarrage d'Internet Explorer, CashGrab-A installe MSUPDATE.DLL en tant que Browser Helper Object.
Les branches du registre suivantes sont alors créées :
HKCR\CLSID\(3A4E6FF3-BF59-446E-9DC8-731BCE2F349A)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\(3A4E6FF3-BF59-446E-9DC8-731BCE2F349A)
HKCR\msupdate.IEHelperOP
Tout particulièrement, l'entrée de registre suivante est créée :
HKCR\CLSID\(3A4E6FF3-BF59-446E-9DC8-731BCE2F349A)\InprocServer32
(default)
%SYSTEM%\msupdate.dll
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, CashGrab-A injecte les fichiers suivants :
UPDATE.SYS - fichier texte contenant une URL
SETUP.CMD - fichier batch DOS utilisé pour supprimer les fichiers d'installation du cheval de Troie
%SYSTEM%\WINDOWS.IDN - fichier texte contenant des données
%SYSTEM%\WINST.MSI - fichier texte contenant une URL
%SYSTEM%\MSUPDATE.DLL - détecté sous le nom de CashGrab-A
%SYSTEM%\WINSETUP.EXE - détecté sous le nom de CashGrab-A
Pour être exécuté automatiquement à chaque démarrage d'Internet Explorer, CashGrab-A installe MSUPDATE.DLL en tant que Browser Helper Object.
Les branches du registre suivantes sont alors créées :
HKCR\CLSID\(3A4E6FF3-BF59-446E-9DC8-731BCE2F349A)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\(3A4E6FF3-BF59-446E-9DC8-731BCE2F349A)
HKCR\msupdate.IEHelperOP
Tout particulièrement, l'entrée de registre suivante est créée :
HKCR\CLSID\(3A4E6FF3-BF59-446E-9DC8-731BCE2F349A)\InprocServer32
(default)
%SYSTEM%\msupdate.dll
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
