Nombre:TR/Agent.bah
Descubierto:12/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:2.836.992 Bytes
Suma de control MD5:c9990e25bf40674a2fefe09fbb931b5a
Versión del VDF:6.35.00.154
Versión del IVDF:6.35.00.193 - jueves 20 de julio de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\drivers\oreans32.sys
%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Pakes.A.687

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Pakes.A.688

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log En este fichero se registran las pulsaciones de teclado.
%WINDIR%\uninstal.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • nightscorpio.kmip.**********:8989

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente.

Envía informaciones acerca de:
    • Nombre del ordenador
    • El tipo de conexión a Internet
    • Dirección IP
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Desactivar la opción de compartir recursos en la red
    • Activar la opción para compartir recursos en la red
    • Iniciar la captura de pulsaciones de teclado

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: MSMDG08O.dll

    Nombre del proceso:
   • iexplore.exe



–  Inyecta el siguiente fichero en un proceso: MSMDG08Okey.DLL

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el lunes 4 de septiembre de 2006
Descripción actualizada por Adriana Popa el martes 12 de septiembre de 2006

Volver . . . .