Classe pour les parents: TrojWare
Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.Classe: Trojan-Notifier
Les programmes malveillants de ce type sont conçus pour envoyer des messages afin d'informer l'utilisateur malveillant qui le contrôle lorsqu'un ordinateur infecté est en ligne. L'utilisateur malveillant recevra des informations sur l'ordinateur infecté, telles que son adresse IP, le numéro du port ouvert, les adresses e-mail, etc. Les informations peuvent être envoyées par un certain nombre de méthodes: courrier électronique, requête spécialement envoyée au serveur malveillant le site Web de l'utilisateur ou via la messagerie instantanée. Les notificateurs sont utilisés dans les chevaux de Troie à composants multiples afin d'informer les utilisateurs malveillants de l'installation réussie de programmes malveillants sur les ordinateurs des victimes.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
Ce cheval de Troie est conçu pour informer l'utilisateur malveillant distant qu'un composant cheval de Troie a été installé avec succès sur la machine victime.
Le programme est un fichier EXE Windows PE. Il est écrit en assembleur. La taille des fichiers infectés peut varier de 1600 octets à 4096 octets.
Charge utile
Une fois lancé, le cheval de Troie se copie dans le répertoire racine de Windows sous son nom de fichier d'origine:
% Windir%Il s'enregistre ensuite dans le registre système:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]"load" = "% Windir%" Cela garantit que le cheval de Troie sera lancé chaque fois que Windows est démarré sur la machine victime.
Toutes les cinq secondes, le cheval de Troie vérifie la connexion à Internet. Lorsqu'une connexion à Internet est établie, le cheval de Troie ouvre l'URL suivante:
http: //web.icq.com/whitepages/p *** _ moi / .....Une fois cette URL ouverte, un message ICQ sera envoyé à l'utilisateur malveillant distant. Le message contient l'adresse IP, le nom et le nom d'utilisateur de la machine victime. Ce message sera envoyé chaque fois qu'une connexion à Internet est établie.
Instructions de suppression
Si votre ordinateur ne dispose pas d'un antivirus à jour ou n'a pas de solution antivirus, suivez les instructions ci-dessous pour supprimer le programme malveillant:
- Utilisez le Gestionnaire des tâches pour mettre fin au processus de cheval de Troie
- Supprimez le fichier cheval de Troie d'origine (l'emplacement dépend de la manière dont le programme a pénétré à l'origine sur la machine victime).
- Supprimez le fichier suivant:
% Windir%- Supprimez l'entrée suivante du registre système:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]"load" = "% Windir%" - Mettez à jour vos bases de données antivirus et effectuez une analyse complète de l'ordinateur ( téléchargez une version d'évaluation de Kaspersky Anti-Virus).
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !