Backdoor:Win32/Gspy.A : nouveau stealer

Vu sur le site de tracking :

La détection : http://www.virustotal.com/file-scan/report.html?id=2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd-1324409285

File name: bda4825f2cdd1ce0690ee0ba3d081266
 Submission date: 2011-12-20 19:28:05 (UTC)
 Current status: finished
 Result: 3 /43 (7.0%)
AhnLab-V3 2011.12.19.03 2011.12.19 Spyware/Win32.Zbot
Fortinet 4.3.388.0 2011.12.20 W32/CRYPT.SMO!tr
Microsoft 1.7903 2011.12.20 Backdoor:Win32/Gspy.A
MD5 : bda4825f2cdd1ce0690ee0ba3d081266
 SHA1 : 460c1d178dada1d447aa85960cc10a03941c88e8
 SHA256: 2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd

Le malware se charge par une clef Run :

Exemple :

O4 - HKLM\..\Run: [nveqv.exe] "C:\WINDOWS\nveqv.exe"
O4 - HKCU\..\Run: [nveqv.exe] "C:\WINDOWS\nveqv.exe"

Le malware injecte les processus systèmes ce qui permet de monitorer les saisies claviers (en autre)

LLes tentatives de connexions vers des URL en /forum/cert.bin

Rien d’exceptionnel en soi, le malware semble moins sophistiqué qu’un Zbot, Spyeye ou Trojan.Carberp
Notamment pas de fonctionnalités de rootkits pour cacher le fichier.

Cependant il monitore la clef de démarrage et le fichier, comme le montre cette vidéo. Si vous tentez de supprimer ces derniers, ils seront recrées.
Etant donné que le malware se charge par une clef Run, un tour en mode sans échec (il ne sera pas actif) permet de s’en débarrasser.

http://www.youtube.com/watch?v=fyReTvXqLhQ

Quelques autres informations sur la fiche Microsoft (14/15 Décembre) : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx

(Visité 57 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet