CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Trojan-Downloader.Win32.IMCdown

Classe Trojan-Downloader
Plateforme Win32
Description

Détails techniques

Ce cheval de Troie télécharge des fichiers via Internet à l'insu de l'utilisateur ou sans son consentement.

C'est un fichier EXE Windows PE. Il est écrit en Borland C ++. Il a les composants suivants:

  • CLIENT.EXE – 57 344 octets
  • SERVER.EXE – 65 024 octets
  • X.EXE – 4 096 octets

Charge utile

Le programme de Troie (X.EXE) tente d'établir une connexion TCP à 116.116.199.216:62324 (216.216.216.216:55512). Si une connexion n'est pas établie dans les 30 secondes, le cheval de Troie met fin à son processus. Si une connexion est établie, le cheval de Troie va créer un fichier appelé "anyfile.exe" dans le répertoire courant, écrire les données téléchargées dans ce fichier, puis lancer le fichier pour l'exécution. Le cheval de Troie cessera alors de fonctionner.

Le cheval de Troie utilise un serveur ZFTP sur le port 12345 pour télécharger des données. Lorsque le composant client (CLIENT.EXE) est lancé, il envoie une requête large bande pour vérifier le port 12345. Si l'adresse de l'ordinateur sur lequel le composant serveur (SERVER.EXE) est installé est donnée en tant que paramètre de ligne de commande, une connexion sera établi pour cette machine sur le port désigné. Les fichiers seront ensuite téléchargés depuis le serveur.

Instructions de suppression

  1. Utilisez le Gestionnaire des tâches pour mettre fin au processus de cheval de Troie.
  2. Supprimez les fichiers de Troie d'origine (l'emplacement dépend de la façon dont le programme a pénétré à l'origine sur la machine victime).
  3. Mettez à jour vos bases de données antivirus et effectuez une analyse complète de l'ordinateur ( téléchargez une version d'évaluation de Kaspersky Anti-Virus).

Lien vers l'original