TR/Agent.aoy.1 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Agent.aoy.1
Descubierto:	14/06/2007
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	122.900 Bytes
Suma de control MD5:	0C32fc9d6fd3daf607a71630dfc22dbb
Versión del VDF:	6.39.00.13
Versión del IVDF:	6.39.00.13

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: AdClicker-FK
   • Kaspersky: Trojan.Win32.Agent.aoy
   • F-Secure: Trojan:W32/Fotomoto.A
   • Sophos: Troj/Agent-FXL
   • Panda: Trj/Downloader.OZB
   • Eset: Win32/Adware.Ezula

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
• %tempdir%\s1d4
• %tempdir%\s1d4.1

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% /service
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="DomainService"

Elimina del registro de Windows el valor de la siguiente clave:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • DDC

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directorio donde se ejecuta el programa viral%\%ficheros
      ejecutados%"="%directorio donde se ejecuta el programa
      viral%\%ficheros ejecutados%"

Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\DomainService]
   • "internal_affiliate_id"=%número hexadecimal%
   • "db_number"=%número hexadecimal%
   • "user_id"=%número hexadecimal%
   • "installation_id"=%número hexadecimal%
   • "next_url_post_time"=%tiempo actual%

Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "SFCDisable"=dword:00000000
   Nuevo valor:
   • "SFCDisable"=dword:00000004

Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://23.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
    • Estado actual del programa viral

Capabilidades de control remoto:
    • Descargar fichero
    • Visitar un sitio web

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Alexandru Dinu el Fri, 06 Jul 2007 13:01 (GMT+1)
Descripción actualizada por Alexandru Dinu el Fri, 06 Jul 2007 16:16 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver