Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ceci est un cheval de Troie Win32 DDoS (Distributed Denial of Service attack) qui a été distribué par un hacker (ou un groupe de hackers) en Novembre 2000. Le cheval de Troie a été envoyé comme un message électronique avec un fichier joint.

Le texte et l'en-tête du message sont les suivants:

————————————————– ——

De: World Travel Agency Ltd. [office4@worldtravel.com]
Envoyé: 21 novembre 2000 17:31]
Pour: Tous les touristes et les vacances]
Objet: Célébrez le nouveau millénaire!]

Agence de voyages mondiale
359 BTC Drive
PO Box 134108
Seattle, WA 98108-23
Etats-Unis

Cher Monsieur / Madame

Célébrez le nouveau millénaire! Découvrez le paradis!

Nous offrons le forfait le plus attrayant pour les célébrations du nouveau millénaire que vous avez jamais vu.
La nature pure, l'architecture moderne et les hautes technologies sont fusionnées pour créer la station parfaite.
Des prix raisonnables, l'exactitude, des services de haute qualité.
Cliquez sur le fichier zip ci-dessous pour voir notre offre!
Faites envie à vos voisins!

Meilleures salutations,

————————————————– ——

Le fichier joint doit être affiché en tant qu'archive ZIP, mais il s'agit d'un fichier Windows EXE portant le nom suivant:

"OFFER2001.ZIP [plusieurs espaces] .EXE"

C'est un "installeur" Trojan qui affectera un ordinateur s'il est exécuté. En raison d'une astuce "espaces", il sera affiché comme un fichier .ZIP dans de nombreux cas, ce qui pourrait tromper un utilisateur pour l'ouvrir.

Installation

Lorsque le fichier EXE (programme d'installation de Trojan) est exécuté, il extrait de lui-même deux autres fichiers exécutables et les copie dans le directeur système Windows avec les noms suivants:

MRE.DLL
SOUNDV.EXE

Sous Win9x et WinNT, ces fichiers sont ensuite enregistrés dans les sections d'exécution automatique de différentes manières: sous WinNT, le cheval de Troie enregistre un fichier SOUNDV.EXE dans le registre système:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

Sous Win9x, le fichier DLL est enregistré dans le fichier SYSTEM.INI dans la section [boot] suivante:

drivers = mre.dll

Le cheval de Troie affiche ensuite le faux message d'erreur suivant:

Erreur
Une DLL requred n'existe pas.

Une DLL requred n'existe pas

(L'erreur grammaticale est laissée telle quelle dans le code cheval de Troie).

Le SOUNDV.EXE est le cheval de Troie DoS lui-même. Le MRE.DLL est un petit programme qui exécute simplement le SOUNDV.EXE à chaque exécution. Par conséquent, sous Win9x et WinNT, le composant SOUNDV.EXE sera activé.

Attaque DOS

Lorsque ce fichier est exécuté (lors du prochain redémarrage de Windows), il reste actif en tant qu'application cachée (service), puis active l'option de numérotation automatique dans les paramètres Internet, puis effectue une attaque DoS sur le serveur "kozirog.netissat .net".

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Trojan-DDoS
Plateforme	Win32
Description	Détails techniques Ceci est un cheval de Troie Win32 DDoS (Distributed Denial of Service attack) qui a été distribué par un hacker (ou un groupe de hackers) en Novembre 2000. Le cheval de Troie a été envoyé comme un message électronique avec un fichier joint. Le texte et l'en-tête du message sont les suivants: ————————————————– —— De: World Travel Agency Ltd. [office4@worldtravel.com] Envoyé: 21 novembre 2000 17:31] Pour: Tous les touristes et les vacances] Objet: Célébrez le nouveau millénaire!] Agence de voyages mondiale 359 BTC Drive PO Box 134108 Seattle, WA 98108-23 Etats-Unis Cher Monsieur / Madame Célébrez le nouveau millénaire! Découvrez le paradis! Nous offrons le forfait le plus attrayant pour les célébrations du nouveau millénaire que vous avez jamais vu. La nature pure, l'architecture moderne et les hautes technologies sont fusionnées pour créer la station parfaite. Des prix raisonnables, l'exactitude, des services de haute qualité. Cliquez sur le fichier zip ci-dessous pour voir notre offre! Faites envie à vos voisins! Meilleures salutations, ————————————————– —— Le fichier joint doit être affiché en tant qu'archive ZIP, mais il s'agit d'un fichier Windows EXE portant le nom suivant: "OFFER2001.ZIP [plusieurs espaces] .EXE" C'est un "installeur" Trojan qui affectera un ordinateur s'il est exécuté. En raison d'une astuce "espaces", il sera affiché comme un fichier .ZIP dans de nombreux cas, ce qui pourrait tromper un utilisateur pour l'ouvrir. Installation Lorsque le fichier EXE (programme d'installation de Trojan) est exécuté, il extrait de lui-même deux autres fichiers exécutables et les copie dans le directeur système Windows avec les noms suivants: MRE.DLL SOUNDV.EXE Sous Win9x et WinNT, ces fichiers sont ensuite enregistrés dans les sections d'exécution automatique de différentes manières: sous WinNT, le cheval de Troie enregistre un fichier SOUNDV.EXE dans le registre système: SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe Sous Win9x, le fichier DLL est enregistré dans le fichier SYSTEM.INI dans la section [boot] suivante: drivers = mre.dll Le cheval de Troie affiche ensuite le faux message d'erreur suivant: Erreur Une DLL requred n'existe pas. (L'erreur grammaticale est laissée telle quelle dans le code cheval de Troie). Le SOUNDV.EXE est le cheval de Troie DoS lui-même. Le MRE.DLL est un petit programme qui exécute simplement le SOUNDV.EXE à chaque exécution. Par conséquent, sous Win9x et WinNT, le composant SOUNDV.EXE sera activé. Attaque DOS Lorsque ce fichier est exécuté (lors du prochain redémarrage de Windows), il reste actif en tant qu'application cachée (service), puis active l'option de numérotation automatique dans les paramètres Internet, puis effectue une attaque DoS sur le serveur "kozirog.netissat .net".
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Trojan-DDoS.Win32.Kozog

Détails techniques

Installation

Attaque DOS