Nombre:TR/Agent.NL.21
Descubierto:11/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:82.944 Bytes
Suma de control MD5:4e19ffc16eaca8513df29d1489e69396
Versión del VDF:6.35.01.208
Versión del IVDF:6.35.01.212 - martes 12 de septiembre de 2006

 General Alias:
   •  Kaspersky: Trojan.Win32.Agent.nl


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Explorer 2238"=%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server
–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server


Añade las siguientes claves al registro:

– HKLM\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2238}\
   InProcServer32
   • "(Default)""=%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"="DCOM Server 2238"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2238"="{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%ficheros ejecutados% en un puerto TCP aleatorio


Servidor contactado:
La siguiente:
   • 208.66.195**********:2238



Capabilidades de control remoto:
    • Desactivar DCOM
    • Descargar fichero
    • Enviar mensajes de correo

 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • hs5pdllv42238
   • hs5p_av_mutex

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Bogdan Iliuta el lunes 2 de octubre de 2006
Descripción actualizada por Bogdan Iliuta el viernes 27 de octubre de 2006

Volver . . . .