Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Transmis sous forme de spam via le courrier électronique, Lâché par un autre malware, Téléchargé à partir d'Internet

Supprime des fichiers, empêchant le fonctionnement correct de programmes et d''applications.

  Détails techniques

File type: EXE
Memory resident: Oui
Charge malveillante: Connects to URLs/IPs, Steals information

Installation

Introduit les fichiers suivants :

  • %System Root%\Recycle.Bin\Recycle.Bin.exe
  • %System Root%\Recycle.Bin\config.bin
  • {malware folder}\mxwqp.exe

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.)

Introduit les duplicats suivants au sein du système affecté.

  • %System%\sdra64.exe

(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)

Crée les dossiers suivants :

  • %User Profile%\Application Data\VMware
  • %System Root%\Recycle.Bin

(Remarque : %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.)

Technique de démarrage automatique

Modifie les entrées de registre suivantes afin d''assurer son exécution automatique à chaque démarrage système :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
userinit = "%System%\userinit.exe, %System%\sdra64.exe,"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Autres modifications du système

Supprime les fichiers suivants :

  • %System%\sdra64.exe
  • %Windows%\SoftwareDistribution\DataStore\Logs\edbtmp.log

(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Ajoute les clés de registre suivantes :

HKEY_CURRENT_USER\SOFTWARE\Microsoft Windows

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
opera.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
navigator.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
safari.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
chrome.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
wiyuwieetq

Ajoute les entrées de registre suivantes relatives à sa routine d''installation :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
opera.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
navigator.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
safari.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
chrome.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe
Debugger = "mxwqp.exe"

HKEY_CURRENT_USER\Software\Microsoft Windows
0000002B3FF26F90 = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft Windows
0000003547893DD5 = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft Windows
0000002FD0CD8A17 = "{random values}"