Descripción completa

Nombre:	TR/Agent.PK.12
Descubierto:	28/07/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	152.576 Bytes
Suma de control MD5:	07c5676f2679af4a221b943e012daa2a
Versión del VDF:	6.35.01.17 - viernes 28 de julio de 2006
Versión del IVDF:	6.35.01.17 - viernes 28 de julio de 2006

General Método de propagación:
   • No tiene rutina propia de propagación

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Modificaciones en el registro

Ficheros Intenta descargar un fichero:

– La dirección es la siguiente:
• 208.66.195.**********:2234
El fichero está guardado en el disco duro en: %TEMPDIR%\%varios dígitos aleatorios%\2234.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

Registro Elimina del registro de Windows el valor de la siguiente clave:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"

Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

Añade las siguientes claves al registro:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com

El fichero host modificado se verá así:

Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
• 208.66.195.**********:2234

De esta forma puede enviar informaciones. La respuesta del servidor queda escrita en el fichero: %APPDATA%\Microsoft\2234.dat

Envía informaciones acerca de:
• Informaciones acerca del sistema operativo Windows

Informaciones diversas Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net

Objeto mutex:
Crea el siguiente objeto mutex:
   • hs5pdllv42234

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Marius T. Nicolae el martes 8 de agosto de 2006
Descripción actualizada por Marius T. Nicolae el jueves 17 de agosto de 2006

Volver . . . .