Nom:DR/Agent.MT
La date de la découverte:15/09/2004
Type:Dropper
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:179.712 Octets
Somme de contrôle MD5:af9b414ca4e341e76d07e999aa1e0faa
Version VDF:6.27.0.61

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Downloader-PE
   •  Kaspersky: Trojan-Dropper.Win32.Agent.mm
   •  TrendMicro: TROJ_AGENT.SZ
   •  VirusBuster: Trojan.DR.Agent.RV
   •  Bitdefender: Trojan.Dropper.Agent.MM


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Le fichier suivant est créé:

%TEMPDIR%\installer.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Dyfuca.DB.1

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Installer"="%le dossier d'exécution du malware%\%le fichier exécuté%"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "CurrentLevel"=%réglages définis par l'utilisateur%
   • "Flags"=%réglages définis par l'utilisateur%
   • "1001"=%réglages définis par l'utilisateur%
   • "1004"=%réglages définis par l'utilisateur%
   • "1200"=%réglages définis par l'utilisateur%
   • "1201"=%réglages définis par l'utilisateur%
   • "1400"=%réglages définis par l'utilisateur%
   • "1402"=%réglages définis par l'utilisateur%
   • "1405"=%réglages définis par l'utilisateur%
   • "1406"=%réglages définis par l'utilisateur%
   • "1407"=%réglages définis par l'utilisateur%
   • "1601"=%réglages définis par l'utilisateur%
   • "1604"=%réglages définis par l'utilisateur%
   • "1605"=%réglages définis par l'utilisateur%
   • "1606"=%réglages définis par l'utilisateur%
   • "1607"=%réglages définis par l'utilisateur%
   • "1608"=%réglages définis par l'utilisateur%
   • "1609"=%réglages définis par l'utilisateur%
   • "1800"=%réglages définis par l'utilisateur%
   • "1802"=%réglages définis par l'utilisateur%
   • "1803"=%réglages définis par l'utilisateur%
   • "1804"=%réglages définis par l'utilisateur%
   • "1805"=%réglages définis par l'utilisateur%
   • "1A00"=%réglages définis par l'utilisateur%
   • "1A02"=%réglages définis par l'utilisateur%
   • "1A03"=%réglages définis par l'utilisateur%
   • "1A04"=%réglages définis par l'utilisateur%
   • "1A05"=%réglages définis par l'utilisateur%
   • "1A06"=%réglages définis par l'utilisateur%
   • "1A10"=%réglages définis par l'utilisateur%
   • "1C00"=%réglages définis par l'utilisateur%
   • "1E05"=%réglages définis par l'utilisateur%
   • "1206"=%réglages définis par l'utilisateur%
   • "2001"=%réglages définis par l'utilisateur%
   • "2004"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "CurrentLevel"=dword:00000001
   • "Flags"=dword:00000001
   • "1001"=dword:00000000
   • "1004"=dword:00000000
   • "1200"=dword:00000000
   • "1201"=dword:00000000
   • "1400"=dword:00000000
   • "1402"=dword:00000000
   • "1405"=dword:00000000
   • "1406"=dword:00000000
   • "1407"=dword:00000000
   • "1601"=dword:00000000
   • "1604"=dword:00000000
   • "1605"=dword:00000000
   • "1606"=dword:00000000
   • "1607"=dword:00000000
   • "1608"=dword:00000000
   • "1609"=dword:00000000
   • "1800"=dword:00000000
   • "1802"=dword:00000000
   • "1803"=dword:00000000
   • "1804"=dword:00000000
   • "1805"=dword:00000001
   • "1A00"=dword:00000000
   • "1A02"=dword:00000000
   • "1A03"=dword:00000000
   • "1A04"=dword:00000000
   • "1A05"=dword:00000000
   • "1A06"=dword:00000000
   • "1A10"=dword:00000001
   • "1C00"=dword:00010000
   • "1E05"=dword:00020000
   • "1206"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASProtect 2.0

Description insérée par Razvan Olteanu le jeudi 8 septembre 2005
Description mise à jour par Razvan Olteanu le mercredi 21 septembre 2005

Retour . . . .