TROJ_DROIDPAK.A
Trojan:Win32/Droidpak.A(Microsoft), Trojan.Droidpak(Symantec), Trojan.Win32.AndrFakeBankDl(Ikarus)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild:
Oui
Overview
Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Cependant, au moment de cette publication, les sites en question sont inaccessibles.
Se supprime lui-même après son exécution.
Détails techniques
Installation
Introduit les fichiers suivants :
- %System%\flashmx32.xtl - also detected as TROJ_DROIDPAK.A
- %Windows%\CrainingApkConfig\down.log
(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)
Son composant DLL est injecté dans les processus suivants :
- svchost.exe
Crée les dossiers suivants :
- %Windows%\CrainingApkConfig
(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)
Technique de démarrage automatique
Enregistre le composant déposé en tant que service système pour s''assurer de son exécution automatique à chaque démarrage du système. Pour cela, il créer les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
ImagePath = "%System%\svchost -k flashmx"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
DisplayName = "Object Update Monitor"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
Description = "Service for adobe client product"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx\Parameters
ServiceDll = "%System%\flashmx32.xtl"
Enregistre le composant déposé en tant que service système pour s''assurer de son exécution automatique à chaque démarrage du système. Pour cela, il crée les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\flashmx\Parameters
Autres modifications du système
Ajoute les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
flashmx = "flashmx"
Routine de téléchargement
Le programme enregistre les fichiers qu''il télécharge en utilisant les noms suivants :
- %Windows%\CrainingApkConfig\iconfig.txt
(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)
Cependant, au moment de cette publication, les sites en question sont inaccessibles.
Autres précisions
Se supprime lui-même après son exécution.
Solutions
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 2
Redémarrage en mode sans échec
Step 3
Supprimer cette clé de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- flashmx
- flashmx
Step 4
Supprimer cette valeur de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- flashmx = "flashmx"
- flashmx = "flashmx"
Step 5
Recherche et suppression de ce dossier
- %Windows%\CrainingApkConfig
Step 6
Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TROJ_DROIDPAK.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!