Nombre:TR/Click.Agent.HF
Descubierto:20/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:155.648 Bytes
Suma de control MD5:fc59165dec86b8cf17e1151029200D26
Versión del VDF:6.35.01.115
Versión del IVDF:6.35.01.116 - lunes 21 de agosto de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.hf
   •  Bitdefender: Trojan.Clicker.Agent.HB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Modificaciones en el registro

 Ficheros  Elimina los siguientes ficheros:
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.gif
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.xml
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.js
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.css
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.cab
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.jsp
   • %temporary internet files%\Content.IE5\%todas las carpetas%\*.htm




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.baidu.com/**********
El fichero está guardado en el disco duro en: %temporary internet files%\Content.IE5\%directorio escogido de forma aleatoria%\s.htm

– La dirección es la siguiente:
   • http://www.baidu.com/img/**********
El fichero está guardado en el disco duro en: %temporary internet files%\Content.IE5\%directorio escogido de forma aleatoria%\logo-yy.gif

 Registro Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • "W2KLpk"=dword:00000001

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://lilainet.vicp.net/001/**********

Una vez contectado, extraerá una lista suplementaria.
De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Estado actual del programa viral

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • InternetClick

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el miércoles 20 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el miércoles 18 de octubre de 2006

Volver . . . .