Nume:TR/Agent.bah
Descoperit pe data de:12/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:2.836.992 Bytes
MD5:c9990e25bf40674a2fefe09fbb931b5a
Versiune VDF:6.35.00.154
Versiune IVDF:6.35.00.193 - Donnerstag, 20. Juli 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\drivers\oreans32.sys
– %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Pakes.A.687

– %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Pakes.A.688

– %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log Acest fisier stocheaza datele introduse de utilizator la tastatura.
– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Servere contactate:
Urmatorul:
   • nightscorpio.kmip.**********:8989

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic.

Trimte informatii despre:
    • Numele sistemului
    • Tipul conexiunii la Internet
    • Adresa IP
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • Lanseaza atacuri DDoS SYN
    • dezactivarea partajarii de resurse in retea
    • activarea partajarii de resurse in retea
    • Porneste keylog

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: MSMDG08O.dll

    Numele procesului:
   • iexplore.exe



–  Injecteaza fisierul urmator intr-un proces: MSMDG08Okey.DLL

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 4. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 12. September 2006

zurück . . . .