TR/Agent.AGNY - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Agent.AGNY
Descubierto:	24/01/2008
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	205.449 Bytes
Suma de control MD5:	0A834d4813f7b44024b2e68d20957aee
Versión del IVDF:	7.00.02.41

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/Autorun.worm.g
   • Kaspersky: Trojan-Downloader.Win32.Agent.hzy
   • F-Secure: Trojan-Downloader.Win32.Agent.hzy
   • Eset: Win32/AutoRun.HL
   • Bitdefender: Trojan.Agent.AGNY

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • c:\windows\system\lsass.exe
   • C:\RECYCLER\Recycler\AutoLaunch.exe
   • %TEMPDIR%\services.exe

Crea la siguiente carpeta:
   • %TEMPDIR%\WinSecurityUpd

Crea los siguientes ficheros:

– drive:\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– %TEMPDIR%\WinSecurityUpd\ms_auto Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– %TEMPDIR%\WinSecurityUpd\ms_drvlst Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • ABCDEFGHIJKLMNOPQRSTUVWXYZ

– %TEMPDIR%\WinSecurityUpd\udpate~1.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • file

– %TEMPDIR%\csrss.bat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %TEMPDIR%\csrss.bat

– %TEMPDIR%\ltmpp.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
– %TEMPDIR%\lsassexe.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\netsh.exe
Ejecuta el fichero con los parámetros siguientes: firewall set opmode disable

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe
Ejecuta el fichero con los parámetros siguientes: /c if exist %TEMPDIR%\csrss.bat call %TEMPDIR%\csrss.bat

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\ping.exe
Ejecuta el fichero con los parámetros siguientes: google.com > %TEMPDIR%\ping2.log

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Thu, 19 Jun 2008 09:49 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 19 Jun 2008 10:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver