Descripción completa

Nume:	TR/Agent.YU.2
Descoperit pe data de:	12/09/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	137.216 Bytes
MD5:	c6dad9eb2cf8de75a481122094b303e3
Versiune VDF:	6.35.01.215
Versiune IVDF:	6.35.01.219 - miércoles 13 de septiembre de 2006

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan.Win32.Agent.yu
   • TrendMicro: TROJ_AGENT.ETQ
   • F-Secure: Trojan.Win32.Agent.yu
   • Eset: Win32/Agent.YU

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarele locatii:
• %WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe
• %WINDIR%\WinSxS\Manifests\SMSS.exe

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ALG"="%WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe"
   • "SERVICES"="%WINDIR%\WinSxS\Manifests\SMSS.exe"

Se adauga in registrii sistemului:

– [HKCU\Software\Obsidium]

Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Vechea valoare:
   • "NoStartMenuMFUprogramsList"=%setarile utilizatorului%
   • "NoStartMenuPinnedList"=%setarile utilizatorului%
   • "NoStartMenuSubFolders"=%setarile utilizatorului%
   • "NoCommonGroups"=%setarile utilizatorului%
   • "NoSMMyPictures"=%setarile utilizatorului%
   • "NoStartMenuMyMusic"=%setarile utilizatorului%
   • "NoSMMyDocs"=%setarile utilizatorului%
   • "NoDesktop"=%setarile utilizatorului%
   • "NoActiveDesktop"=%setarile utilizatorului%
   • "NoViewOnDrive"=%setarile utilizatorului%
   Noua valoare:
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   Vechea valoare:
   • "NoViewContextMenu"=%setarile utilizatorului%
   Noua valoare:
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Start_ShowRun"=%setarile utilizatorului%
   Noua valoare:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Vechea valoare:
   • "NoViewContextMenu"=%setarile utilizatorului%
   Noua valoare:
   • "NoViewContextMenu"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Start_ShowRun"=%setarile utilizatorului%
   Noua valoare:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Vechea valoare:
   • "NoStartMenuPinnedList"=%setarile utilizatorului%
   • "NoStartMenuMFUprogramsList"=%setarile utilizatorului%
   • "NoStartMenuSubFolders"=%setarile utilizatorului%
   • "NoCommonGroups"=%setarile utilizatorului%
   • "NoSMMyPictures"=%setarile utilizatorului%
   • "NoStartMenuMyMusic"=%setarile utilizatorului%
   • "NoSMMyDocs"=%setarile utilizatorului%
   • "NoDesktop"=%setarile utilizatorului%
   • "NoActiveDesktop"=%setarile utilizatorului%
   • "NoViewOnDrive"=%setarile utilizatorului%
   • "NoControlPanel"=%setarile utilizatorului%
   • "NoDrives"=%setarile utilizatorului%
   • "NoRun"=%setarile utilizatorului%
   • "NoFind"=%setarile utilizatorului%
   • "NoFavoritesMenu"=%setarile utilizatorului%
   • "NoRecentDocsMenu"=%setarile utilizatorului%
   • "NoLogOff"=%setarile utilizatorului%
   • "NoClose"=%setarile utilizatorului%
   • "NoSaveSettings"=%setarile utilizatorului%
   • "NoUserNameInStartMenu"=%setarile utilizatorului%
   • "NoToolbarCustomize"=%setarile utilizatorului%
   • "NoThemesTab"=%setarile utilizatorului%
   • "NoSMHelp"=%setarile utilizatorului%
   • "NoPrinterTabs"=%setarile utilizatorului%
   • "NoPrinters"=%setarile utilizatorului%
   • "NoNetHood"=%setarile utilizatorului%
   • "NoManageMyComputerVerb"=%setarile utilizatorului%
   Noua valoare:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Pagina de start in Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Start Page"=%setarile utilizatorului%
   • "Window title"=%setarile utilizatorului%
   Noua valoare:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Start Page"=%setarile utilizatorului%
   • "Window title"=%setarile utilizatorului%
   • "NoControlPanel"=%setarile utilizatorului%
   • "NoDrives"=%setarile utilizatorului%
   • "NoRun"=%setarile utilizatorului%
   • "NoFind"=%setarile utilizatorului%
   • "NoFavoritesMenu"=%setarile utilizatorului%
   • "NoRecentDocsMenu"=%setarile utilizatorului%
   • "NoLogOff"=%setarile utilizatorului%
   • "NoClose"=%setarile utilizatorului%
   • "NoSaveSettings"=%setarile utilizatorului%
   • "NoUserNameInStartMenu"=%setarile utilizatorului%
   • "NoToolbarCustomize"=%setarile utilizatorului%
   • "NoThemesTab"=%setarile utilizatorului%
   • "NoSMHelp"=%setarile utilizatorului%
   • "NoPrinterTabs"=%setarile utilizatorului%
   • "NoPrinters"=%setarile utilizatorului%
   • "NoNetHood"=%setarile utilizatorului%
   • "NoManageMyComputerVerb"=%setarile utilizatorului%
   Noua valoare:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Vechea valoare:
   • "DisableTaskMgr"=%setarile utilizatorului%
   • "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Vechea valoare:
   • "DisableTaskMgr"=%setarile utilizatorului%
   • "NoDispCPL"=%setarile utilizatorului%
   • "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Reduce setarile de securitate din Internet Explorer:
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   Vechea valoare:
   • "NoBrowserClose"=%setarile utilizatorului%
   • "NoNavButtons"=%setarile utilizatorului%
   • "NoSelectDownloadDir"=%setarile utilizatorului%
   • "NoBrowserContextMenu"=%setarile utilizatorului%
   • "NoBrowserOptions"=%setarile utilizatorului%
   Noua valoare:
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

Formatul orei:
– [HKCU\Control Panel\International]
   Vechea valoare:
   • "sTimeFormat"=%setarile utilizatorului%
   Noua valoare:
   • "sTimeFormat"="ÁËßÄÜ"

– [HKCU\Control Panel\Desktop]
   Vechea valoare:
   • "MenuShowDelay"=%setarile utilizatorului%
   • "WallpaperOriginX"=%setarile utilizatorului%
   • "WallpaperOriginY"=%setarile utilizatorului%
   Noua valoare:
   • "MenuShowDelay"="9999"
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Noua valoare:
   • "DiskSpaceThreshold"=dword:00000099

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "LegalNoticeCaption"=%setarile utilizatorului%
   • "LegalNoticeText"=%setarile utilizatorului%
   Noua valoare:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü. Â îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   Vechea valoare:
   • "LegalNoticeCaption"=%setarile utilizatorului%
   • "LegalNoticeText"=%setarile utilizatorului%
   Noua valoare:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü. Â îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Vechea valoare:
   • "DisableSR"=%setarile utilizatorului%
   • "RPLifeInterval"=%setarile utilizatorului%
   Noua valoare:
   • "DisableSR"=dword:00000001
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   Vechea valoare:
   • "NoAddRemovePrograms"=%setarile utilizatorului%
   Noua valoare:
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Vechea valoare:
   • "NoAddRemovePrograms"=%setarile utilizatorului%
   Noua valoare:
   • "NoAddRemovePrograms"=dword:00000001

Terminarea proceselor Lista cu serviciile dezactivate:
• System Restore
• Task Manager

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Adriana Popa el viernes 27 de octubre de 2006
Descripción actualizada por Adriana Popa el lunes 30 de octubre de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas