- Encyclopédie des menaces
- Programme Malveillant
- TROJ_QDDOS.A
Windows 2000, Windows XP, Windows Server 2003
Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.
Lance des attaques de refus de service (DoS) sur certains sites Web. Exécute ladite routine afin d''empêcher les utilisateurs d''accéder à ces sites à une heure déterminée.
Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.
Technique de démarrage automatique
S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
m{3 random alphabetic characters}svc = "m{3 random alphabetic characters}svc"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
w{2 random alphabetic characters}csvc = "w{2 random alphabetic characters}csvc"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
s{3 random alphabetic characters}svc = "s{3 random alphabetic characters}svc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Type = "20"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k m{3 random alphabetic characters}svc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
DisplayName = "Microsoft DNS resolve Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Description = "Provides DNS resolve.If this service is stopped, system cannot be well performed"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\m{3 random alphabetic characters}svc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Type = "20"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k s{3 random alphabetic characters}svc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
DisplayName = "Removal stoarage Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Description = "Allows Removal stoarage.If this service is stopped, system cannot be well performed"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\s{3 random alphabetic characters}svc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Type = "20"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ImagePath = "%System Root%\system32\svchost.exe -k w{2 random alphabetic characters}csvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
DisplayName = "Windows DNS Security controler Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Description = "Transmits DNS Security controler.If this service is stopped, system cannot be well performed"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc\Parameters
ServiceDll = "%System Root%\system32\w{2 random alphabetic characters}csvc.dll"
S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Attaque de refus de service (DoS)
Lance des attaques de refus de service sur les sites Web suivants :
Routine d'introduction
Introduit les fichiers suivants :
(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)
Introduit les fichiers suivants :
(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)
Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.
Routine de téléchargement
Le programme enregistre les fichiers qu''il télécharge en utilisant les noms suivants :
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 2
Identifiez les fichiers détectés comme TROJ_QDDOS.A, puis restaurez l'enregistrement d'amorçage principal et supprimez les fichiers malveillants à l'aide de la console de récupération
Step 3
Supprimer cette clé de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
Step 4
Supprimer cette valeur de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
Step 5
Suppression des chaînes qui ont été ajoutées par le programme malveillant/programme espion/grayware dans les fichiers HOSTS
Step 6
Recherche et suppression de ces fichiers
Step 7
Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TROJ_QDDOS.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Step 8
Rétablir ces fichier à partir d’une sauvegarde Seuls les fichiers Microsoft seront rétablis. Si le programme malveillant/grayware/programme espion a effacé des fichiers associés à des programmes qui ne sont pas de Microsoft, veuillez réinstaller ces programmes sur votre ordinateur.