_Canbede-J

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 417792 Octet(s)

Détails techniques:

Canbede-J est un exécutable qui dépose un composant DLL (Dynamic Link Library) au nom aléatoire dans le répertoire %System%.

Canbede-J génère un unique CLASSID et un bon nombre d'entrée de registre, par exemple :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{16EE4F56-784A-4C4F-BC93-7391F1928E83}
HKCR\CLSID\{16EE4F56-784A-4C4F-BC93-7391F1928E83}\IDEx = "ST"
HKCR\CLSID\{16EE4F56-784A-4C4F-BC93-7391F1928E83}\Implemented Categories\{00021492-0000-0000-C000-000000000046}
HKCR\CLSID\{16EE4F56-784A-4C4F-BC93-7391F1928E83}\InprocServer32\@ = "%System%\dNdpmesh.dll"
HKCR\CLSID\{16EE4F56-784A-4C4F-BC93-7391F1928E83}\InprocServer32\ThreadingModel = "Apartment"

Avec 16EE4F56-784A-4C4F-BC93-7391F1928E83, un CLASSID généré au hasard et "dNdpmesh.dll", un nom de fichier au hasard.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CONTROL PANEL\Asynchronous = 0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CONTROL PANEL\DllName = "%System%\dNdpmesh.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CONTROL PANEL\Impersonate = 0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CONTROL PANEL\Logon = “WinLogon"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CONTROL PANEL\Logoff = "WinLogoff"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CONTROL PANEL\Shutdown = "WinShutdown"

N.B. : Canbede-J détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.


Concernant les fonctionnalités de la porte dérobée, Canbede-J tente de récupérer des fichiers des sites :

www.ica{censuré}news.com
www.lice{censuré}verify.com

Ainsi, la porte dérobée permet de :

- Se connecter sur des sites particuliers
- Télécharger et exécuter des applications
- Refuser l'accès à certains sites sur la machine infectée
- Modifier la page d'accueil d'Internet Explorer
- Afficher de la publicité
- Mettre à jour le malware
- Récupérer des informations sur l'ordinateur infecté

Boîte à outils

COMMENTER Commenter

Les Forums VirusTraQ

Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?

suite Venez nous poser vos questions sur les forums VirusTraQ

Niveau de menace

niveau_2

Niveau de menace Faible

Les listes VirusTraQ

Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)

suite Cliquez ici pour vous abonner !

Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.

suite Cliquez ici pour vous abonner !

Sondage

Possédez-vous un antivirus ?

Oui depuis longtemps
Oui depuis peu
Non mais j'y songe
Non car je n'en ai pas l'utilité
C'est quoi un antivirus ?


[Les résultats]

En chiffres

85

85% des ordinateurs ont été infectés par un virus en Chine durant l'année 2003. (source ChinaView)



http://www.blocus-zone.com/