||||
Symantec.com > Security Response > Spyware.ESP
IMPRIMEZ CETTE PAGE

Spyware.ESP

Version imprimable

Mis à jour : 13 Février 2007 11:47:25 AM
Type : Logiciel espion
Impact des risques : Elevé
Noms de fichiers : %UserProfile%\Application Data\Microsoft\Installer\{CAD7F12F-43F4-4EDE-BE24-B19153EB2F4C}\_[RANDOM
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows CE, Windows Me, Windows NT, Windows Server 2003, Windows XP


Lorsque Spyware.ESP est installé, il réalise les opérations suivantes :
  1. Crée les fichiers suivants :

    • %UserProfile%\Bureau\ESP Full.lnk
    • %UserProfile%\Menu Démarrer\Programmes\Horizon DataSys Inc. Software\ESP Full\ESP Full.lnk
    • %UserProfile%\Menu Démarrer\Programmes\Horizon DataSys Inc. Software\ESP Full\Readme-Help.lnk
    • %ProgramFiles%\ESP Full\ESP+.exe
    • %ProgramFiles%\ESP Full\EventScheduler.mdb
    • %ProgramFiles%\ESP Full\Help.rtf
    • %ProgramFiles%\ESP Full\riched32.dll
    • %UserProfile%\Application Data\Microsoft\Installer\{CAD7F12F-43F4-4EDE-BE24-B19153EB2F4C}\_[ALÉATOIRE].exe
    • %UserProfile%\Application Data\Microsoft\Installer\{CAD7F12F-43F4-4EDE-BE24-B19153EB2F4C}\_[ALÉATOIRE].exe
    • %UserProfile%\Application Data\Microsoft\Installer\{CAD7F12F-43F4-4EDE-BE24-B19153EB2F4C}\_[ALÉATOIRE].exe
    • %Windir%\Installer\[ALÉATOIRE].msi (une copie de l'installateur original.)


      Remarque :
    • %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, il s'agit de C:\Documents and Settings\[Utilisateur en cours] (Windows NT/2000/XP).
    • %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
    • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
    • % System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Crée les sous-clés de registre suivantes :

    HKEY_LOCAL_MACHINE\SOFTWARE\Horizon DataSys Inc.\ESP+
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\8222F165E61AE07448C5AE79CE44F64C
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CAD7F12F-43F4-4EDE-BE24-B19153EB2F4C}
    HKEY_CURRENT_USER\Software\Microsoft\Installer\UpgradeCodes\8222F165E61AE07448C5AE79CE44F64C\F21F7DAC4F34EDE4EB421B1935BEF2C4
    HKEY_CURRENT_USER\Software\Microsoft\Installer\Features\F21F7DAC4F34EDE4EB421B1935BEF2C4
    HKEY_CURRENT_USER\Software\Microsoft\Installer\UpgradeCodes\8222F165E61AE07448C5AE79CE44F64C
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\%UserProfile%\Start Menu\Programs\Horizon DataSys Inc. Software\ESP Full
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\%UserProfile%\Start Menu\Programs\Horizon DataSys Inc. Software
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\%UserProfile%\Application Data\Microsoft\Installer\{CAD7F12F-43F4-4EDE-BE24-B19153EB2F4C}

  3. Ajoute la valeur :

    "MSRegScan" = "C:\Program Files\ESP Full\ESP+"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte qu'il soit exécuté à chaque démarrage de Windows.

  4. Crée et enregistre les fichiers .dll tiers légitimes ci-après, s'ils n'existent pas déjà sur l'ordinateur :

    • %System%\actskn43.ocx
    • %System%\asycfilt.dll
    • %System%\comcat.dll
    • %System%\comdlg32.ocx
    • %System%\dijpg.dll
    • %System%\mscomct2.ocx
    • %System%\mscomctl.ocx
    • %System%\msvbvm60.dll
    • %System%\msvcrt.dll
    • %System%\mswinsck.ocx
    • %System%\oleaut32.dll
    • %System%\olepro32.dll
    • %System%\riched32.dll
    • %System%\richtx32.ocx
    • %System%\skinboxer43.dll

      Remarque : Un certain nombre de sous-clés de registre liées à ces fichiers .dll peuvent également être créées.

  5. Surveille l'activité de l'utilisateur sur l'ordinateur compromis, y compris :

    • Sites Web visités
    • Applications exécutées
    • Fichiers et dossiers modifiés
    • Frappes clavier utilisées
    • Windows Messenger et trafic du courrier électronique

  6. Fait des copies d'écran du bureau à intervalles réguliers.

  7. Peut envoyer toute donnée enregistrée par le risque à une adresse électronique prédéterminée.


Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.