Badger
592Messages postés
31 mai 2004Date d'inscription
27 juil. 2004 à 15:03
DESCRIPTION DETAILLEE :
Simcss (encore appelé Magicon.A, Wintrim ou Persis) est un cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même, contrairement aux virus. Il se trouve généralement caché dans un programme en libre téléchargement sur des sites web douteux ou peut être installé par un virus ayant préalablement infecté l'ordinateur.
Le troyen s'installe dans un sous-répertoire du répertoire Windows nommé /Navpms/ (ou /Simcss/ ou encore /Wintrim/) en y copiant notamment les fichiers Navpmc.exe (ou Simcss.exe ou encore Magicon.exe) et Uninstall.exe. Simcss modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis tente de se connecter à divers adresses pour rechercher une mise à jour. Le troyen termine enfin divers processus pour désactiver les logiciels de sécurité correspondants :
* Symproxysvc.exe
* Smc.exe
* Persfw.exe
* Agentw.exe
* Zonealarm.exe
* Blackice.exe
10/03/04 : une variante mineure Simcss.B (également nommée Trojan.Win32.Simcss.B, Trojan.Simcss.B ou TROJ_MAGICON.B) a été identifiée. Elle se distingue par une taille de fichier infectant légèrement inférieure (16.896 octets), le fait que le troyen copie dans sous-répertoire /mslagent/ du répertoire Windows les fichiers mslagent.exe et uninstall.exe, et le fait qu'il soit capable de désactiver une liste variable de logiciels.
source: secuser
