15
05
2006
ERAZER supprime la musique et les films pirates
- Virus et Spywares - Lien permanent - 205 lecture(s)
Découverte d'un nouveau cheval de Troie qui efface vos fichiers audio et vidéo qui se trouve dans les dossiers partagés des logiciels peer-to-peer et qui portent les extensions de fichier suivantes :
AVI BMP COM DOC DOT GIF HTM HTML JPG JS MP3 MP3 MPEG MPG RAR TXT VBS WAV WMA WMV ZIP.
AVI BMP COM DOC DOT GIF HTM HTML JPG JS MP3 MP3 MPEG MPG RAR TXT VBS WAV WMA WMV ZIP.
Un trojan "justicier" peut-être envoyé par les majors du disque (RIAA - Recording Industry Association of America) ou le MPAA (Motion Picture Association of America) !!!
Il se propage via les programmes de chat et de peer-to-peer.
En plus de supprimé vos fichiers multimédia, il désactive les antivirus, réduit la sécurité, dérobe des informations, et installe d'autres logiciels malveillants.
Même si vous ne télécharger pas illégalement, soyez vigilant car "Erazer alias Troj_P2Pcopy.A" ne semble pas être en mesure de distinguer les fichiers acquis illégalement des fichiers légaux.
Détail :
Le cheval de Troie crée un fichier nommé aléatoirement dans le dossier temporaire et exécute ce fichier. Le fichier créé est aussi détecté sous le nom de Troj/Erazer-A.
Des copies du fichier créé dans le dossier <Temp> sont créées dans :
<System>\drvsys.exe
<System>\drvsystem.exe
<System>\eraser32.exe
<System>\char.exe
<System>\zonex.exe
<System>\gothicmaster.exe
<System>\eraser.exe
<System>\layer32.exe
<System> umlock.exe
Le cheval de Troie crée aussi des copies de lui-même dans les dossiers partagés d'applications Peer to Peer (P2P) en utilisant les noms de fichiers suivants :
bf1942.exe
game.exe
goporn.exe
hdr3.exe
naturally13.exe
nero7.exe
officexpcrack.exe
optix133.exe
setup.exe.
Troj/Erazer-A supprime les fichiers se trouvant aux emplacements suivants :
<System>\*.doc
<System>\*.hlp
<System>\*.log
<User Profile>\*.avi
<User Profile>\*.bmp
<User Profile>\*.doc
<User Profile>\*.exe
<User Profile>\*.jpg
<User Profile>\*.mp3
<User Profile>\*.mpg
<User Profile>\*.ppt
<User Profile>\*.txt
Les dossiers suivants sont créés pour conserver des copies de sauvegarde des fichiers système originaux :
<System>\eraser
<System>\drvformat
<System>\temp32
Le cheval de Troie collecte des informations sur l'ordinateur infecté puis archive ces informations dans <System>\sysinfo.txt et dans <System>\syslog.dat.
Troj/Erazer-A crée les entrées de registre suivantes pour être exécuter à chaque ouverture de session d'un utilisateur :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
COMSurrogate
"<System>\char.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ipconfig
"<System>\drvsys.exe"
Terme employer :
Cheval de Troie espion : un cheval de Troie espion est un programme informatique d’apparence légitime conçu dans l'intention de perturber et de porter atteinte à l'activité de l'ordinateur en envoyant à un tiers des informations depuis cet ordinateur sans la permission de son utilisateur ou à l’insu de ce dernier.
Se protéger :
Windows Defender
Anti-Trojans
Anti-spywares
Il se propage via les programmes de chat et de peer-to-peer.
En plus de supprimé vos fichiers multimédia, il désactive les antivirus, réduit la sécurité, dérobe des informations, et installe d'autres logiciels malveillants.
Même si vous ne télécharger pas illégalement, soyez vigilant car "Erazer alias Troj_P2Pcopy.A" ne semble pas être en mesure de distinguer les fichiers acquis illégalement des fichiers légaux.
Détail :
Le cheval de Troie crée un fichier nommé aléatoirement dans le dossier temporaire et exécute ce fichier. Le fichier créé est aussi détecté sous le nom de Troj/Erazer-A.
Des copies du fichier créé dans le dossier <Temp> sont créées dans :
<System>\drvsys.exe
<System>\drvsystem.exe
<System>\eraser32.exe
<System>\char.exe
<System>\zonex.exe
<System>\gothicmaster.exe
<System>\eraser.exe
<System>\layer32.exe
<System> umlock.exe
Le cheval de Troie crée aussi des copies de lui-même dans les dossiers partagés d'applications Peer to Peer (P2P) en utilisant les noms de fichiers suivants :
bf1942.exe
game.exe
goporn.exe
hdr3.exe
naturally13.exe
nero7.exe
officexpcrack.exe
optix133.exe
setup.exe.
Troj/Erazer-A supprime les fichiers se trouvant aux emplacements suivants :
<System>\*.doc
<System>\*.hlp
<System>\*.log
<User Profile>\*.avi
<User Profile>\*.bmp
<User Profile>\*.doc
<User Profile>\*.exe
<User Profile>\*.jpg
<User Profile>\*.mp3
<User Profile>\*.mpg
<User Profile>\*.ppt
<User Profile>\*.txt
Les dossiers suivants sont créés pour conserver des copies de sauvegarde des fichiers système originaux :
<System>\eraser
<System>\drvformat
<System>\temp32
Le cheval de Troie collecte des informations sur l'ordinateur infecté puis archive ces informations dans <System>\sysinfo.txt et dans <System>\syslog.dat.
Troj/Erazer-A crée les entrées de registre suivantes pour être exécuter à chaque ouverture de session d'un utilisateur :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
COMSurrogate
"<System>\char.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ipconfig
"<System>\drvsys.exe"
Terme employer :
Cheval de Troie espion : un cheval de Troie espion est un programme informatique d’apparence légitime conçu dans l'intention de perturber et de porter atteinte à l'activité de l'ordinateur en envoyant à un tiers des informations depuis cet ordinateur sans la permission de son utilisateur ou à l’insu de ce dernier.
Se protéger :
Windows Defender
Anti-Trojans
Anti-spywares
