Nombre:TR/Agent.DL.2
Descubierto:24/08/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:36.969 Bytes
Suma de control MD5:13f81b6b0d9cd62837cfebc22777cf63
Versión del VDF:6.31.01.176

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Agent.gf
   •  TrendMicro: TROJ_AGENT.XZ
   •  Sophos: Troj/Dermon-D
   •  Panda: Trj/Agent.AII
   •  VirusBuster: Trojan.Agent.PK


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\winserver.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\winserv.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\winserv32.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\winserv.ini Contiene parámetros empleados por el programa malicioso.
%SYSDIR%\winserv.dat En este fichero se registran las pulsaciones de teclado.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://pleskin.**********.ua/part3/check.dat

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Valor anterior:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Nuevo valor:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Valor anterior:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Nuevo valor:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

 Finalización de los procesos Listado de los procesos finalizados:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\lsass.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.
%SYSDIR%\lsass.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.


Servidor contactado:
El siguiente:
   • http://pleskin.**********.ua/

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.
Esto se realiza mediante el método HTTP POST, empleando un script PHP.


Envía informaciones acerca de:
    • Ficheros de informe creados
    • Variables de ambiente
    • Dirección IP
    • Informaciones acerca de la red
    • Puerto abierto
    • Informaciones acerca del sistema operativo Windows

 Robo de informaciones – Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Inyectar el código viral en otros procesos – Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • lsass.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • IS_ALIVE

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios ficheros


Método empleado:
    • Oculto en Windows API

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Borland C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Oliver Auerbach el miércoles 24 de agosto de 2005
Descripción actualizada por Oliver Auerbach el viernes 26 de agosto de 2005

Volver . . . .