Nombre:TR/Spy.ProAg.21.3.A
Descubierto:19/09/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:246.349 Bytes
Suma de control MD5:85fa8947452cfcc3da30d54f888fbf10
Versión del VDF:6.32.00.16

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.ProAgent.21
   •  Sophos: Troj/Progent-P
   •  Grisoft: PSW.Agent.NR
   •  VirusBuster: trojan TrojanSpy.ProAgent.I
   •  Bitdefender: Trojan.Spy.Proagent.21


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\qservice.exe



Sobrescribe un fichero.
%SYSDIR%\drivers\symredrv.sys

Con el siguiente contenido:
   • No more Mail Scanning =)
     Powered by ProAgent




Crea los siguientes ficheros:

– Fichero no malicioso:
   • %TEMPDIR%\htmpl.htm

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

%SYSDIR%\drivers\KeenSense.sys Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Hi criminal =)

%SYSDIR%\drivers\ksdevice.sys Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Hi criminal =)

%WINDIR%\kurlmon.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.ProAgent.21.1

%WINDIR%\services.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.ProAgent.21.2

%SYSDIR%\HookApi.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.ProAgent.21

%WINDIR%\k_urlmon.dll En este fichero se registran las pulsaciones de teclado.

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%número hexadecimal%
   • "pPid" = dword:%número hexadecimal%

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
El remitente del mensaje de correo es el siguiente:
   • "ProAgent v2.1.0" <ProAgent@Yahoo.com>


Para:
El destinatario del mensaje es el siguiente:
   • maturpejos@yahoo.com


Asunto:
El siguiente:
   • %nombre del ordenador% is Online



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %informaciones robadas%

 Finalización de los procesos  Listado de los servicios desactivados:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

 Robo de informaciones Intenta robar las siguientes informaciones:
– Windows Product ID
– Contraseñas tipeadas en los campos de contraseñas
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las siguientes claves de CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Las contraseñas de los siguientes programas:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: kurlmon.dll

    Nombre del proceso:
   • explorer.exe



–  Inyecta el siguiente fichero en un proceso: HookApi.dll

    Nombre del proceso:
   • explorer.exe



–  Inyecta el siguiente fichero en un proceso: services.dll

    Nombre del proceso:
   • iexplore.exe


 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • ege.edu.tr
   • ankara.edu.tr


Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • www.aol.com


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios ficheros
– Sus propios procesos
– Sus propias claves del registro

– El siguiente fichero:
   • msehk.dll

– Ficheros que contienen la siguiente subcadena en su nombre del fichero:
   • wins32

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Daniel Constantin el martes 11 de abril de 2006
Descripción actualizada por Daniel Constantin el miércoles 12 de abril de 2006

Volver . . . .