Troj_Defial-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 63566 Octet(s)

Détails techniques:

Quand il est exécute, Defial-A dépose un composant DLL (Dynamic Link Library), dans le dossier %System%, sous le nom "RFA.dll".

Ce fichier déposé crée cette entrée de registre :

HKCR\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}

afin d'y stocker les valeurs suivantes :

Server
Port
Acc
pass
Update
Url
HTML

Le composant DLL crée également les entrées de registre suivantes :

HKCR\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}\InprocServer32\(Default) = "%System%\RFA.dll"
HKCR\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}\InprocServer32\ThreadingModel = Apartment
HKCR\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}\ProgID\(Default) = RFA.RFA.1
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}

N.B. : Defial-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le fichier qui a déposé le composant DLL se supprime de lui-même.


Reste la DLL qui est utilisée pour dérobée les informations confidentielles (identifiant, mot de passe, etc...) du système infecté. Ces informations seront ensuite envoyées sur un site à distance.

Defial-A cherche des adresses e-mails dans fichiers ayant pour extensions :

xml
xls
eml
vbs
rtf
uin
doc
oft
msg
dbx
adb
wab
tbb
asp

Les fichiers sont les extensions commencent par ph, pl et tx sont aussi recherchés. Ainsi que ceux qui contiennent la chaîne "ht" dans leur extension.

Le trojan évite de prendre les adresses comportant les mots suivants :

kaspersky
viruslist
nai.com
avp.
symantec
f-secure
mcafee
admin
root
support
microsof

Les adresses électroniques sont sauvegardées dans le fichier %Windir%\email.log

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Defial-A vole les noms d'utilisateurs et les mots de passe des comptes de messagerie trouvés sur le système infecté.
Le trojan cible les logiciels suivants :

Outlook Express
Hotmail
POP3 clients
HTTPMail clients

Defial-A vole aussi tous les mots de passe cachés trouvés sur la machine. Toutes ces informations sont rassemblées dans le fichier %Windir%\pass.log.
Les 2 fichiers (email.log et pass.log) sont ensuite télédéchargés sur serveur FTP.


Le cheval de Troie est capable de télécharger et d'exécuter un fichier arbitraire (tel qu'une mise à jour de lui-même). Ce fichier peut être téléchargé directement par FTP ou par HTTP.
Le fichier est alors enregistré dans le répertoire %Temp% sous le nom "tmp1324.exe".

N.B. : Le cheval de Troie détermine l'emplacement du dossier %Temp% de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.