Nume:TR/Dldr.Agent.gcx
Descoperit pe data de:24/10/2008
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Ridicat
Potential de distrugere:Ridicat
Fisier static:Nu
Marime:~ 360.000 Bytes
Versiune IVDF:7.00.07.81 - viernes 24 de octubre de 2008

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza un fisier malware
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– %SYSDIR%\wbem\sysmgr.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Agent.gcx

– %TEMPDIR%\%sir de 8 caractere aleatoare%.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%dll malware%
   • "ServiceMain"="ServiceMainFunc"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valori hex%

 Backdoor Servere contactate:
Unul dintre:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

Astfel se pot transmite informatii. In plus, conexiunea e reluata periodic. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Lista cu programele instalate in Adaugare sau eliminare programe
    • Numele sistemului
    • Informatii despre retea
    • Informatiile colectate, descrise in sectiunea
    • Utilizator
    • Informatii despre sistemul de operare

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descripción insertada por Thomas Wegele el viernes 24 de octubre de 2008
Descripción actualizada por Alexander Vukcevic el viernes 24 de octubre de 2008

Volver . . . .