Nume:TR/Agent.DL.2
Descoperit pe data de:24/08/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:36.969 Bytes
MD5:13f81b6b0d9cd62837cfebc22777cf63
Versiune VDF:6.31.01.176

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Agent.gf
   •  TrendMicro: TROJ_AGENT.XZ
   •  Sophos: Troj/Dermon-D
   •  Panda: Trj/Agent.AII
   •  VirusBuster: Trojan.Agent.PK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winserver.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\winserv.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\winserv32.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\winserv.ini Contine parametri folositi de malware.
– %SYSDIR%\winserv.dat Acest fisier stocheaza datele introduse de utilizator la tastatura.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://pleskin.**********.ua/part3/check.dat

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Vechea valoare:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Noua valoare:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Vechea valoare:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Noua valoare:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

 Terminarea proceselor Lista cu procesele oprite:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe


 Backdoor Deschide porturile:

– %SYSDIR%\lsass.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– %SYSDIR%\lsass.exe port TCP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:

   • http://pleskin.**********.ua/

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.
Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Loguri create
    • Variabile de mediu
    • Adresa IP
    • Informatii despre retea
    • Port deschis
    • Informatii despre sistemul de operare

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Injectarea codului malware in alte procese – Se injecteaza ca un thread intr-un proces.

    Numele procesului:
   • lsass.exe


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • IS_ALIVE

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Borland C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Oliver Auerbach le mercredi 24 août 2005
Description mise à jour par Oliver Auerbach le vendredi 26 août 2005

Retour . . . .