Revenir vers la liste d'actualités
Le 14 juillet 2011
Suite à son lancement dans le PC infecté, le Trojan.DownLoad2.29598 enregistre un lien vers lui-même dans la branche de la base de registre relative à l’autodémarrage des applications, s’alloue de la mémoire vive et copie les bibliothèques nécessaires à son fonctionnement. Autrement dit, le trojan possède son propre installateur de bibliothèques, lui permettant d'éviter les interceptions des antivirus.
En conséquence, la plupart des débogueurs n'arrivent pas à établir les noms des fonctions utilisées par le trojan, ce qui rend difficile l'étude de ce genre de menaces. Grâce à un algorithme spécial, le trojan analyse s'il n'est pas lancé dans la machine virtuelle. Il est également capable de se dissimuler aux antivirus.
Suite à son lancement, le Trojan.DownLoad2.29598 envoie une requête au serveur smtp16.mail.ru pour vérifier si la connexion Internet est établie . Ensuite, il cherche à connecter le serveur de commandes et envoie une demande chiffrée, en réponse il reçoit soit l’ordre de télécharger un fichier malveillant, de le lancer en tâche de fond, de l'intégrer dans un des processus en cours de la mémoire ou de lancer un driver.
La signature du Trojan.DownLoad2.29598 est déjà dans les bases virales Dr.Web, ce qui assure la protection de nos utilisateurs.. Un scan régulier des disques durs de votre PC est vivement conseillé.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments