Backdoor:Win32/Gspy.A : nouveau stealer

Vu sur le site de tracking :

La détection : http://www.virustotal.com/file-scan/report.html?id=2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd-1324409285

File name: bda4825f2cdd1ce0690ee0ba3d081266
 Submission date: 2011-12-20 19:28:05 (UTC)
 Current status: finished
 Result: 3 /43 (7.0%)
AhnLab-V3 2011.12.19.03 2011.12.19 Spyware/Win32.Zbot
Fortinet 4.3.388.0 2011.12.20 W32/CRYPT.SMO!tr
Microsoft 1.7903 2011.12.20 Backdoor:Win32/Gspy.A
MD5 : bda4825f2cdd1ce0690ee0ba3d081266
 SHA1 : 460c1d178dada1d447aa85960cc10a03941c88e8
 SHA256: 2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd

Le malware se charge par une clef Run :

Exemple :

O4 - HKLM\..\Run: [nveqv.exe] "C:\WINDOWS\nveqv.exe"
O4 - HKCU\..\Run: [nveqv.exe] "C:\WINDOWS\nveqv.exe"

Le malware injecte les processus systèmes ce qui permet de monitorer les saisies claviers (en autre)

LLes tentatives de connexions vers des URL en /forum/cert.bin

Rien d’exceptionnel en soi, le malware semble moins sophistiqué qu’un Zbot, Spyeye ou Trojan.Carberp
Notamment pas de fonctionnalités de rootkits pour cacher le fichier.

Cependant il monitore la clef de démarrage et le fichier, comme le montre cette vidéo. Si vous tentez de supprimer ces derniers, ils seront recrées.
Etant donné que le malware se charge par une clef Run, un tour en mode sans échec (il ne sera pas actif) permet de s’en débarrasser.

http://www.youtube.com/watch?v=fyReTvXqLhQ

Quelques autres informations sur la fiche Microsoft (14/15 Décembre) : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 10 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *