Nom:TR/Agent.PK.12
La date de la découverte:28/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:152.576 Octets
Somme de contrôle MD5:07c5676f2679af4a221b943e012daa2a
Version VDF:6.35.01.17 - vendredi 28 juillet 2006
Version IVDF:6.35.01.17 - vendredi 28 juillet 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il modifie des registres

 Fichiers Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • 208.66.195.**********:2234
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\%plusieurs chiffres aléatoires%\2234.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

 Registre La valeur de la clé de registre suivante est supprimée:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"



Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%le dossier d'exécution du malware%\%le fichier exécuté%"



Les clés de registre suivantes sont ajoutée:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Serveur de contact:
Le suivant:
   • 208.66.195.**********:2234

En conséquence il peut envoyer de l'information. Le réponse du serveur est écrit dans le fichier: %APPDATA%\Microsoft\2234.dat


Il envoie de l'information au sujet de:
    • Information sur le système d'exploitation Windows

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net


Mutex:
Il crée le Mutex suivant:
   • hs5pdllv42234

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Marius T. Nicolae le mardi 8 août 2006
Description mise à jour par Marius T. Nicolae le jeudi 17 août 2006

Retour . . . .