Analysé par: Michael Cabel   

 Plate-forme:

Windows 2000, XP, Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild:
    Oui

  Overview

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Se supprime automatiquement une fois son exécution terminée.

Désactive le Gestionnaire des tâches, l''éditeur de la base de registre et les options de dossier.

Affiche de faux messages d'alerte prévenant les utilisateurs d'une infection. Affiche également de faux résultats du scan du système affecté. Demande ensuite aux utilisateurs de l'acheter une fois le scan terminé. Si les utilisateurs décident d'acheter le produit malveillant, ils sont dirigés vers un site Web demandant des informations sensibles, telles que des numéros de carte bancaire.

  Détails techniques

File size: 18,688 bytes
File type: PE
Memory resident: Oui
Date de réception des premiers échantillons: 08 août 2010
Charge malveillante: Connects to URLs/Ips, Downloads files, Displays ads, Displays fake alerts, Disables Task Manager

Précisions sur l'apparition de l'infection

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Installation

Introduit les fichiers/composants suivants :

  • %User Temp%\wscsvc32.exe
  • %User Temp%\topwesitjh
  • %User Temp%\wmsdk64_32.exe
  • %User Temp%\expand32xp.dll

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Introduit le fichier non malveillant suivant :

  • %Favorites%\_favdata.dat

(Remarque : %Favorites% est le dossier des Favoris de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Favoris sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Favoris sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Favoris sous Windows 2000, XP et Server 2003. )

Son composant DLL est injecté dans les processus suivants :

  • EXPLORER.EXE

Se supprime automatiquement une fois son exécution terminée.

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wmsdk64_32.exe = %Temp%\wmsdk64_32.exe

Autres modifications du système

Ajoute les entrées de registre suivantes relatives à sa routine d''installation :

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
featurecontrol\feature_enable_ie_compression
svchost.exe = 1

HKEY_CURRENT_USER\Printers\Connections
affid = {random numbers}

HKEY_CURRENT_USER\Printers\Connections
subid = {random strings}

HKEY_CURRENT_USER\Printers\Connections
time = {variable number}

Modifie les clés/entrées de registre suivantes dans le cadre de sa routine d'installation :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

Il crée la ou les entrées suivantes pour désactiver le Gestionnaires des tâches, les outils de la base de registre et les options de dossier.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = 1

Routine faux antivirus

Affiche de faux messages d'alerte prévenant les utilisateurs d'une infection. Affiche également de faux résultats du scan du système affecté. Demande ensuite aux utilisateurs de l'acheter une fois le scan terminé. Si les utilisateurs décident d'acheter le produit malveillant, ils sont dirigés vers un site Web demandant des informations sensibles, telles que des numéros de carte bancaire.

  Solutions

Moteur de scan minimum: 8.900
First VSAPI Pattern File: 7.370.07
First VSAPI Pattern Release Date: 08 août 2010
VSAPI OPR Pattern Version: 7.373.00
VSAPI OPR Pattern Release Date: 09 août 2010

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Redémarrage en mode sans échec

[ suite ]

Step 3

Supprimer cette valeur de registre

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_CURRENT_USER\Printers\Connections
    • affid = {random name}
  • In HKEY_CURRENT_USER\Printers\Connections
    • subid = {random string}
  • In HKEY_CURRENT_USER\Printers\Connections
    • time = {random number}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableTaskMgr = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • wmsdk64_32.exe = %Temp%\wmsdk64_32.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • DisableTaskMgr = 1
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\feature_enable_ie_compression
    • svchost.exe = 1

Step 4

Restaurer cette valeur de registre modifiée

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = 4
      To: 2

Step 5

Recherche et suppression de ces fichiers

[ suite ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les "Options avancées" afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
  • %Favorites%\_favdata.dat 
  • %User Temp%\wscsvc32.exe 
  • %User Temp%\topwesitjh 
  • %User Temp%\wmsdk64_32.exe 
  • %User Temp%\expand32xp.dll

Step 6

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TROJ_FRAUDLO.LO Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!