Descripción completa

Nombre:	TR/Spy.Agent.OR.4
Descubierto:	02/11/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	81.408 Bytes
Suma de control MD5:	58d2ae5f9c90674c1fc3fb1195959f5c
Versión del VDF:	6.36.00.205
Versión del IVDF:	6.36.00.225 - jueves 2 de noviembre de 2006

General Alias:
   • Kaspersky: Trojan-Spy.Win32.Agent.or
   • Sophos: Troj/Agent-DPH

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\svchost.exe

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run
• "svchost.exe"="%WINDIR%\svchost.exe"

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
• http://akella.biz/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
• Las informaciones recolectadas, descritas en la sección

Robo de informaciones – Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • http://search.slimtoolbar.com

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • http://search.yahoo.
   • http://www.msn.
   • http://www.yahoo.
   • http://www.google.

– Captura:
    • Pulsaciones de teclado

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• msupdgt2

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Bogdan Iliuta el miércoles 15 de noviembre de 2006
Descripción actualizada por Bogdan Iliuta el miércoles 15 de noviembre de 2006

Volver . . . .