Nume:DR/Agent.MT
Descoperit pe data de:15/09/2004
Tip:Dropper
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:179.712 Bytes
MD5:af9b414ca4e341e76d07e999aa1e0faa
Versiune VDF:6.27.0.61

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Downloader-PE
   •  Kaspersky: Trojan-Dropper.Win32.Agent.mm
   •  TrendMicro: TROJ_AGENT.SZ
   •  VirusBuster: Trojan.DR.Agent.RV
   •  Bitdefender: Trojan.Dropper.Agent.MM


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Este creat fisierul:

– %TEMPDIR%\installer.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Dyfuca.DB.1

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Installer"="%directorul de activare malware%\%fisier executat%"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Vechea valoare:
   • "CurrentLevel"=%setarile utilizatorului%
   • "Flags"=%setarile utilizatorului%
   • "1001"=%setarile utilizatorului%
   • "1004"=%setarile utilizatorului%
   • "1200"=%setarile utilizatorului%
   • "1201"=%setarile utilizatorului%
   • "1400"=%setarile utilizatorului%
   • "1402"=%setarile utilizatorului%
   • "1405"=%setarile utilizatorului%
   • "1406"=%setarile utilizatorului%
   • "1407"=%setarile utilizatorului%
   • "1601"=%setarile utilizatorului%
   • "1604"=%setarile utilizatorului%
   • "1605"=%setarile utilizatorului%
   • "1606"=%setarile utilizatorului%
   • "1607"=%setarile utilizatorului%
   • "1608"=%setarile utilizatorului%
   • "1609"=%setarile utilizatorului%
   • "1800"=%setarile utilizatorului%
   • "1802"=%setarile utilizatorului%
   • "1803"=%setarile utilizatorului%
   • "1804"=%setarile utilizatorului%
   • "1805"=%setarile utilizatorului%
   • "1A00"=%setarile utilizatorului%
   • "1A02"=%setarile utilizatorului%
   • "1A03"=%setarile utilizatorului%
   • "1A04"=%setarile utilizatorului%
   • "1A05"=%setarile utilizatorului%
   • "1A06"=%setarile utilizatorului%
   • "1A10"=%setarile utilizatorului%
   • "1C00"=%setarile utilizatorului%
   • "1E05"=%setarile utilizatorului%
   • "1206"=%setarile utilizatorului%
   • "2001"=%setarile utilizatorului%
   • "2004"=%setarile utilizatorului%
   Noua valoare:
   • "CurrentLevel"=dword:00000001
   • "Flags"=dword:00000001
   • "1001"=dword:00000000
   • "1004"=dword:00000000
   • "1200"=dword:00000000
   • "1201"=dword:00000000
   • "1400"=dword:00000000
   • "1402"=dword:00000000
   • "1405"=dword:00000000
   • "1406"=dword:00000000
   • "1407"=dword:00000000
   • "1601"=dword:00000000
   • "1604"=dword:00000000
   • "1605"=dword:00000000
   • "1606"=dword:00000000
   • "1607"=dword:00000000
   • "1608"=dword:00000000
   • "1609"=dword:00000000
   • "1800"=dword:00000000
   • "1802"=dword:00000000
   • "1803"=dword:00000000
   • "1804"=dword:00000000
   • "1805"=dword:00000001
   • "1A00"=dword:00000000
   • "1A02"=dword:00000000
   • "1A03"=dword:00000000
   • "1A04"=dword:00000000
   • "1A05"=dword:00000000
   • "1A06"=dword:00000000
   • "1A10"=dword:00000001
   • "1C00"=dword:00010000
   • "1E05"=dword:00020000
   • "1206"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASProtect 2.0

Description insérée par Razvan Olteanu le jeudi 8 septembre 2005
Description mise à jour par Razvan Olteanu le mercredi 21 septembre 2005

Retour . . . .