||||
Symantec.com > Security Response > Spyware.Apropos
IMPRIMEZ CETTE PAGE

Spyware.Apropos

Version imprimable

Mis à jour : 13 Février 2007 11:40:14 AM
Type : Logiciel espion
Diffuseur : peopleonpage
Impact des risques : Elevé
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Lorsque Spyware.Apropos s'exécute, il agit ainsi :

  1. Peut créer certains des fichiers suivants :

    • %Windir%\Downloaded Program Files\aprload.bin
    • %Windir%\Downloaded Program Files\load.exe
    • %Windir%\Downloaded Program Files\monpop.exe
    • %Windir%\Downloaded Program Files\pop225.dll
    • %Windir%\Downloaded Program Files\pophook4.dll
    • %Windir%\Downloaded Program Files\PopSrv225.exe
    • %Temp%\install_ct.exe
    • %Temp%\auto_update_loader.exe
    • %Temp%\CXtPls.exe
    • %Temp%\ProxyStub.dll
    • %Temp%\WinGenerics.dll
    • %Temp%\ace.dll
    • %Temp%\atla.dll
    • %Temp%\atlw.dll
    • %Temp%\data.bin
    • %Temp%\libexpat.dll
    • %Temp%\ph.exe
    • %Temp%\pm.exe
    • %Temp%\setup.inf
    • %Temp%\uninstaller.exe
    • %Temp%\atl.dll
    • %System%\atmon.exe
    • %System%\intfaxui.exe

      Remarque :
      • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
      • %Temp% est une variable qui indique l'emplacement du dossier temporaire de Windows. Par défaut, il s'agit de C:\Windows\TEMP (Windows 95/98/Me/XP) ou C:\WINNT\Temp (Windows NT/2000).
      • % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Peut ajouter les valeurs suivantes :

    "AutoLoaderAproposClient" = "C:\WINDOWS\Downloaded Program Files\aprload.exe /ShowLegalNote /PC="POP.POP"
    "POP" = "C:\WINDOWS\Downloaded Program Files\PopSrv225.exe    "
    " AutoLoaderEnvoloAutoUpdater" = "auto_update_loader.exe"
    "[nom aléatoire]" = "intfaxui.exe"

    à la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte que Spyware.Apropos s'exécute à chaque démarrage de Windows.

  3. Ajoute la valeur :

    "[nom aléatoire]" = " atmon.exe "

    à la clé de registre :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    de sorte que Spyware.Apropos.B s'exécute à chaque démarrage de Windows.

  4. Peut créer certaines des sous-clés de registre suivantes :

    HKEY_CLASSES_ROOT\CLSID\{B5AB638F-D76C-415B-A8F2-F3CEAC502212}
    HKEY_CLASSES_ROOT\CLSID\{BC333116-6EA1-40A1-9D07-ECB192DB8CEA}
    HKEY_CLASSES_ROOT\CLSID\{016235BE-59D4-4CEB-ADD5-E2378282A1D9}
    HKEY_CLASSES_ROOT\CLSID\{5EB250D7-2F0D-2C7A-0DC0-8A508FE8F3C}\{6B16BB4F-0B38-8762-1D21-878D02D8C66}
    HKEY_CLASSES_ROOT\CLSID\{5EB250D7-2F0D-2C7A-0DC0-8A508FE8F3C}\{7096C141-D32A-7EA3-B355-B2410136DDE}
    HKEY_CLASSES_ROOT\CLSID\{5967BAE1-2AB3-00FC-21E8-57362EAE900}\{758A7D6C-1952-3347-39E5-45F8F2D6433}
    HKEY_CLASSES_ROOT\CLSID\{645FD3BC-C314-4F7A-9D2E-64D62A0FDD78}
    HKEY_CLASSES_ROOT\CLSID\{65C8C1F5-230E-4DC9-9A0D-F3159A5E7778}
    HKEY_CLASSES_ROOT\CLSID\{8023A3E7-AB95-4C23-8313-0BE9842CC70E}
    HKEY_CLASSES_ROOT\CLSID\{976C4E11-B9C5-4B2B-97EF-F7D06BA4242F}
    HKEY_CLASSES_ROOT\CLSID\{D5580D6F-0E5F-4BDB-9CDF-F8EE68BEB008}
    HKEY_CLASSES_ROOT\Interface\{BC333116-6EA1-40A1-9D07-ECB192DB8CEA}
    HKEY_CLASSES_ROOT\Interface\{B99A727F-0782-4A71-BCC2-6E1E66414904}
    HKEY_CLASSES_ROOT\Interface\{B548B7D8-3D03-4AED-A6A1-4251FAD00C10}
    HKEY_CLASSES_ROOT\POP.Server.1
    HKEY_CLASSES_ROOT\POP.Server
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{8023A3E7-AB95-4C23-8313-0BE9842CC70E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Apropos
    HKEY_CURRENT_USER\Software\POP
    HKEY_LOCAL_MACHINE\Software\AutoLoader
    HKEY_LOCAL_MACHINE\SOFTWARE\Envolo
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AproposClient
    HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{D5580D6F-0E5F-4BDB-9CDF-F8EE68BEB008}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{645FD3BC-C314-4F7A-9D2E-64D62A0FDD78}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\POP
  5. Peut entrer dans une boucle infinie de valeurs de lecture à partir de :

    HKEY_CLASSES_ROOT\CLSID\{5967BAE1-2AB3-00FC-21E8-57362EAE900}

    ce qui sollicite le processeur à 100 %.

  6. Télécharge et affiche des publicités.

  7. Surveille l'activité au niveau du navigateur et contacte régulièrement un serveur distant pour obtenir des instructions. En fonction de la réponse, il peut :
    • Télécharger et exécuter un programme
    • Se reconfigurer pour contacter un autre serveur distant
    • Régler l'intervalle entre les mises à jour (l'intervalle par défaut est de 12 heures)
    • Envoyer des informations au serveur distant


Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.