Troj_Iyus-N

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Iyus-N peut arriver sous la forme d'une archive CAB contenant deux fichiers nommés "setting.inf" et "install.exe".

Lorsque "install.exe" est exécuté, il crée des fichiers nommés "loader.exe" et "refresh.html" dans le dossier temporaire de l'utilisateur. Refresh.html est une page web inoffensive et peut être supprimé en toute sécurité. "loader.exe" est un composant de Iyus-N.

"loader.exe" injecte un fichier nommé "javavm1.dll" dans le dossier %System% et l'enregistre avec le système d'exploitation, créant des entrées de registre dans les emplacements suivants :

HKCR\CLSID\{DE23A040-D6AA-43ca-9B86-D9BE3DAA6FE7}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\


"javavm1.dll" tente de télécharger et d'exécuter un fichier depuis un site Web préconfiguré.

Les deux composants "loader.exe" et "javavm1.dll" du cheval de Troie tentent de désactiver un certain nombre de logiciels antivirus et de sécurité en supprimant des entrées suivantes du registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Advanced Tools Check

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
gcasServ


En supprimant des fichiers depuis les dossiers suivants :

C:\Program Files\Common Files\Network Associates\
C:\Program Files\Common Files\Symantec Shared\
C:\Program Files\Kaspersky Lab\
C:\Program Files\McAfee\
C:\Program Files\Microsoft AntiSpyware\
C:\Program Files\Norton Antivirus\


Puis en essayant de mettre fin les processus suivants :

ALOGSERV.EXE
AVCONSOL.EXE
AVSYNMGR.EXE
CCAPP.EXE
CCEVTMGR.EXE
CCSETMGR.EXE
FRAMEWORKSERVICE.EXE
GCASCLEANER
GCASDTSERV
GCASINSTALLHELPER
GCASNOTICE
GCASSERV
GCASSERVALERT
GCASSWUPDATER
GCIPTOHOSTQUEUE
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
KAV.EXE
KAVSEND.EXE
KAVSVC.EXE
MCSHIELD.EXE
NAPRDMGR.EXE
NAVAPSVC.EXE
NMAIN.EXE
OUTPOST.EXE
QCLEAN.EXE
RULAUNCH.EXE
SAVSCAN.EXE
SHSTAT.EXE
SYMLCSVC.EXE
TBMON.EXE
VSHWIN32.EXE
VSMAIN.EXE
VSSTAT.EXE
VSTSKMGR.EXE


Le composant "javavm1.dll" surveille aussi les messages d'avertissement et cache à l'utilisateur les messages portant les titres suivants :

Allow all activities for this application
Hidden Process Requests Network Access
Warning: Components Have Changed
Warning: some components changed
Windows Security Alert





http://www.hackers-news.com/