Nombre:DR/Agent.MT
Descubierto:15/09/2004
Tipo:Dropper
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:179.712 Bytes
Suma de control MD5:af9b414ca4e341e76d07e999aa1e0faa
Versión del VDF:6.27.0.61

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Downloader-PE
   •  Kaspersky: Trojan-Dropper.Win32.Agent.mm
   •  TrendMicro: TROJ_AGENT.SZ
   •  VirusBuster: Trojan.DR.Agent.RV
   •  Bitdefender: Trojan.Dropper.Agent.MM


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Crea el siguiente fichero:

%TEMPDIR%\installer.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Dyfuca.DB.1

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Installer"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "CurrentLevel"=%configuración definida por el usuario%
   • "Flags"=%configuración definida por el usuario%
   • "1001"=%configuración definida por el usuario%
   • "1004"=%configuración definida por el usuario%
   • "1200"=%configuración definida por el usuario%
   • "1201"=%configuración definida por el usuario%
   • "1400"=%configuración definida por el usuario%
   • "1402"=%configuración definida por el usuario%
   • "1405"=%configuración definida por el usuario%
   • "1406"=%configuración definida por el usuario%
   • "1407"=%configuración definida por el usuario%
   • "1601"=%configuración definida por el usuario%
   • "1604"=%configuración definida por el usuario%
   • "1605"=%configuración definida por el usuario%
   • "1606"=%configuración definida por el usuario%
   • "1607"=%configuración definida por el usuario%
   • "1608"=%configuración definida por el usuario%
   • "1609"=%configuración definida por el usuario%
   • "1800"=%configuración definida por el usuario%
   • "1802"=%configuración definida por el usuario%
   • "1803"=%configuración definida por el usuario%
   • "1804"=%configuración definida por el usuario%
   • "1805"=%configuración definida por el usuario%
   • "1A00"=%configuración definida por el usuario%
   • "1A02"=%configuración definida por el usuario%
   • "1A03"=%configuración definida por el usuario%
   • "1A04"=%configuración definida por el usuario%
   • "1A05"=%configuración definida por el usuario%
   • "1A06"=%configuración definida por el usuario%
   • "1A10"=%configuración definida por el usuario%
   • "1C00"=%configuración definida por el usuario%
   • "1E05"=%configuración definida por el usuario%
   • "1206"=%configuración definida por el usuario%
   • "2001"=%configuración definida por el usuario%
   • "2004"=%configuración definida por el usuario%
   Nuevo valor:
   • "CurrentLevel"=dword:00000001
   • "Flags"=dword:00000001
   • "1001"=dword:00000000
   • "1004"=dword:00000000
   • "1200"=dword:00000000
   • "1201"=dword:00000000
   • "1400"=dword:00000000
   • "1402"=dword:00000000
   • "1405"=dword:00000000
   • "1406"=dword:00000000
   • "1407"=dword:00000000
   • "1601"=dword:00000000
   • "1604"=dword:00000000
   • "1605"=dword:00000000
   • "1606"=dword:00000000
   • "1607"=dword:00000000
   • "1608"=dword:00000000
   • "1609"=dword:00000000
   • "1800"=dword:00000000
   • "1802"=dword:00000000
   • "1803"=dword:00000000
   • "1804"=dword:00000000
   • "1805"=dword:00000001
   • "1A00"=dword:00000000
   • "1A02"=dword:00000000
   • "1A03"=dword:00000000
   • "1A04"=dword:00000000
   • "1A05"=dword:00000000
   • "1A06"=dword:00000000
   • "1A10"=dword:00000001
   • "1C00"=dword:00010000
   • "1E05"=dword:00020000
   • "1206"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASProtect 2.0

Descripción insertada por Razvan Olteanu el jueves 8 de septiembre de 2005
Descripción actualizada por Razvan Olteanu el miércoles 21 de septiembre de 2005

Volver . . . .