Modifié par: : Rika Joi Gregorio
 

Trojan:Win32/Droidpak.A(Microsoft), Trojan.Droidpak(Symantec), Trojan.Win32.AndrFakeBankDl(Ikarus)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Cependant, au moment de cette publication, les sites en question sont inaccessibles.

Se supprime lui-même après son exécution.

  Détails techniques

File size: 82,432 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 29 janvier 2014
Charge malveillante: Connects to URLs/IPs

Installation

Introduit les fichiers suivants :

  • %System%\flashmx32.xtl - also detected as TROJ_DROIDPAK.A
  • %Windows%\CrainingApkConfig\down.log

(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Son composant DLL est injecté dans les processus suivants :

  • svchost.exe

Crée les dossiers suivants :

  • %Windows%\CrainingApkConfig

(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Technique de démarrage automatique

Enregistre le composant déposé en tant que service système pour s''assurer de son exécution automatique à chaque démarrage du système. Pour cela, il créer les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
ImagePath = "%System%\svchost -k flashmx"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
DisplayName = "Object Update Monitor"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
Description = "Service for adobe client product"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx\Parameters
ServiceDll = "%System%\flashmx32.xtl"

Enregistre le composant déposé en tant que service système pour s''assurer de son exécution automatique à chaque démarrage du système. Pour cela, il crée les clés de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx\Parameters

Autres modifications du système

Ajoute les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
flashmx = "flashmx"

Routine de téléchargement

Le programme enregistre les fichiers qu''il télécharge en utilisant les noms suivants :

  • %Windows%\CrainingApkConfig\iconfig.txt

(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Cependant, au moment de cette publication, les sites en question sont inaccessibles.

Autres précisions

Se supprime lui-même après son exécution.

  Solutions

Moteur de scan minimum: 9.700
First VSAPI Pattern File: 10.572.03
First VSAPI Pattern Release Date: 29 janvier 2014
VSAPI OPR Pattern Version: 10.573.00
VSAPI OPR Pattern Release Date: 30 janvier 2014

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Redémarrage en mode sans échec

[ learnMore ]

Step 3

Supprimer cette clé de registre

[ learnMore ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • flashmx

Step 4

Supprimer cette valeur de registre

[ learnMore ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    • flashmx = "flashmx"

Step 5

Recherche et suppression de ce dossier

[ learnMore ]
Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers cachés soient inclus dans les résultats de la recherche.
  • %Windows%\CrainingApkConfig

Step 6

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TROJ_DROIDPAK.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!