Nombre:TR/Click.Agent.AC
Descubierto:17/01/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:90.112 Bytes
Suma de control MD5:807ec8a8b8e28b11258ff2782f1f91be
Versión del VDF:6.29.00.64

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.ac
   •  TrendMicro: TROJ_CLICKER.EQ
   •  Bitdefender: Trojan.Clicker.Agent.GQ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

%SYSDIR%\ansi.cfg

 Registro Elimina del registro de Windows los valores de la siguiente clave:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • SystemChecÂwk
   • SystemChecÂwk1



Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– HKCR\CLSID\{54645654-2225-4455-44A1-9F4543D34546}\InProcServer32
   • (Default) = "%SYSDIR%\vbsys2.dll"



Añade las siguientes claves al registro:

– HKCR\CLSID\{54645654-2225-4455-44A1-9F4543D34546}
   • (Default) = "System Check Application"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • SystemCheck2 = "{54645654-2225-4455-44A1-9F4543D34546}"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www7.logih.com/777/**********
   • http://540.filost.com/randomsites/**********

De esta forma obtiene el control remoto.

Capabilidades de control remoto:
    • Visitar un sitio web

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Marius T. Nicolae el martes 12 de septiembre de 2006
Descripción actualizada por Marius T. Nicolae el miércoles 13 de septiembre de 2006

Volver . . . .