Nom:TR/Agent.bah
La date de la découverte:12/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:2.836.992 Octets
Somme de contrôle MD5:c9990e25bf40674a2fefe09fbb931b5a
Version VDF:6.35.00.154
Version IVDF:6.35.00.193 - jeudi 20 juillet 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\drivers\oreans32.sys
%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Pakes.A.687

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Pakes.A.688

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log Ce fichier contient des frappes de touche collectés.
%WINDIR%\uninstal.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Porte dérobée Serveur de contact:
Le suivant:
   • nightscorpio.kmip.**********:8989

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement.

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Le type de la connexion Internet
    • L'adresse IP:
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Lancer des attaques DDoS SYN
    • Désactiver les partages réseau
    • Activer les partages réseau
    • Commence le keylog

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: MSMDG08O.dll

    Nom du processus :
   • iexplore.exe



–  Il injecte le fichier suivant dans un processus: MSMDG08Okey.DLL

    Nom du processus :
   • %tous les processus en exécution"


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le lundi 4 septembre 2006
Description mise à jour par Adriana Popa le mardi 12 septembre 2006

Retour . . . .