trojandownloader.win32.dluca.p
Pierre Pinard^© (jj.mm.aaaa)


Généralités

• Nom
  trojandownloader.win32.dluca.p
  
  
• Autres noms
  .
  
  
• Description Résumée
  C'est un downloader Il n'est pas détaillé avec quels "acolytes" il travaille et donc quels sont les fichiers qui ont été téléchargés. Une analyse approfondie avec plusieurs anti-trojan et surtout avec PestPatrol, immédiatement puis recommencer dans les jours suivants, le temps que les équipes de l'éditeur d'anti-trojan aient eu une remontée d'informations et/ou aient piégé la malveillance pour la tracer.
  
  
• Variantes
  .
  
  

Ce qu'il fait

Publicité	Violation de la vie privée	Introduit une faille de sécurité	Introduit une instabilité du système
.	.	Oui	.

• Publicité :
  .
  
  
• Violation de la vie privée :
  .
  
  
• Introduit une faille de sécurité :
  Oui : peut downloader n'importe quoi dont du code et en lancer l'exécution.
  
  
• Introduit une instabilité du système :
  .
  
  

Editeur
.

Autres produits du même éditeur
.

Méthode de distribution
.

Détection
.

Informations techniques
.

Eradication

• Manuelle
  Vous devez connaître et maîtriser les actions manuelles suivantes
  • Tuer un processus actif
    
  • Retirer une entrée de la liste de démarrage
    
  • Détruire des fichiers
    
  • Détruire des répertoires
    
  • Détruire des clés de registre
    
  • Détruire une entrée dans une clé de registre
    
  • Désenregistrer des DLLs
    
    

Tuer le processus
systemroot+\system32\sncntr.exesncntr.exe

Lancer l'éditeur de base de registre (Démarrer > Exécuter > Regedit)
Localiser la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Détruire l'entrée sncntr dans cette clé

Détruire le fichier systemroot+\system32\sncntr.exesncntr.exe

Cette procédure concerne le downloader en lui-même. A l'heure où nous écrivons ces lignes, la malveillance vient d'être découverte (janvier 2004) et on ne sait pas quels sont les "clients" de cette malveillance.

toujours exécuter l'intégralité de "La Manip" après cette désinfection.

• Automatique avec son propre uninstal
  .
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Automatique avec un outil
  PestPatrol, TDS-3, Trojan Remover...
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Conséquences de l'éradication
  Aucune
  
  

Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
.

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.

Cookies à éradiquer utilisés par ce parasite
.

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
.

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.

Rédigé en écoutant Ecoute