Nom:TR/Spy.ProAg.21.3.A
La date de la découverte:19/09/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:246.349 Octets
Somme de contrôle MD5:85fa8947452cfcc3da30d54f888fbf10
Version VDF:6.32.00.16

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.ProAgent.21
   •  Sophos: Troj/Progent-P
   •  Grisoft: PSW.Agent.NR
   •  VirusBuster: trojan TrojanSpy.ProAgent.I
   •  Bitdefender: Trojan.Spy.Proagent.21


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\qservice.exe



Il écrase un fichier.
%SYSDIR%\drivers\symredrv.sys

Avec le contenu suivant:
   • No more Mail Scanning =)
     Powered by ProAgent




Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %TEMPDIR%\htmpl.htm

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

%SYSDIR%\drivers\KeenSense.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Hi criminal =)

%SYSDIR%\drivers\ksdevice.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Hi criminal =)

%WINDIR%\kurlmon.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.ProAgent.21.1

%WINDIR%\services.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.ProAgent.21.2

%SYSDIR%\HookApi.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.ProAgent.21

%WINDIR%\k_urlmon.dll Ce fichier contient des frappes de touche collectés.

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%numéro hexadécimal%
   • "pPid" = dword:%numéro hexadécimal%

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'expéditeur de cet e-mail est ce qui suit:
   • "ProAgent v2.1.0" <ProAgent@Yahoo.com>


A:
Le destinataire de l'email est le suivant:
   • maturpejos@yahoo.com


Sujet:
Le suivant:
   • %le nom de l'ordinateur% is Online



Corps:
Le corps de l'email est le suivant:
   • %l'information volée%

 Arrêt de processus:  La liste des services qui sont désactivés:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les clés de CD suivantes:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Les mots de passe des programmes suivants:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: kurlmon.dll

    Nom du processus :
   • explorer.exe



–  Il injecte le fichier suivant dans un processus: HookApi.dll

    Nom du processus :
   • explorer.exe



–  Il injecte le fichier suivant dans un processus: services.dll

    Nom du processus :
   • iexplore.exe


 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • ege.edu.tr
   • ankara.edu.tr


Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.aol.com


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers
– Ses propres processus
– Ses propres clés de registre

– Le fichier suivant:
   • msehk.dll

– Les fichiers qui contiennent des chaines de signes suivantes dans leur nom de fichier:
   • wins32

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Daniel Constantin le mardi 11 avril 2006
Description mise à jour par Daniel Constantin le mercredi 12 avril 2006

Retour . . . .