Nom:TR/Agent.DL.2
La date de la découverte:24/08/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:36.969 Octets
Somme de contrôle MD5:13f81b6b0d9cd62837cfebc22777cf63
Version VDF:6.31.01.176

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Agent.gf
   •  TrendMicro: TROJ_AGENT.XZ
   •  Sophos: Troj/Dermon-D
   •  Panda: Trj/Agent.AII
   •  VirusBuster: Trojan.Agent.PK


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winserver.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\winserv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\winserv32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\winserv.ini Contient des paramètres employé par le malware
%SYSDIR%\winserv.dat Ce fichier contient des frappes de touche collectés.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://pleskin.**********.ua/part3/check.dat

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   L'ancienne valeur:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   La nouvelle valeur:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   L'ancienne valeur:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   La nouvelle valeur:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

 Arrêt de processus: La liste des processus qui sont terminés:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe


 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\lsass.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée
%SYSDIR%\lsass.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • http://pleskin.**********.ua/

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.
Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.
    • Les variables d'environnement
    • L'adresse IP:
    • Information sur le réseau
    • Port ouvert
    • Information sur le système d'exploitation Windows

 Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

 L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'exécution dans un processus.

    Nom du processus:
   • lsass.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • IS_ALIVE

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers


La méthode utilisée:
    • Caché de Windows API

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Borland C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Oliver Auerbach le mercredi 24 août 2005
Description mise à jour par Oliver Auerbach le vendredi 26 août 2005

Retour . . . .