Nom:TR/Click.Agent.HF
La date de la découverte:20/09/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:155.648 Octets
Somme de contrôle MD5:fc59165dec86b8cf17e1151029200D26
Version VDF:6.35.01.115
Version IVDF:6.35.01.116 - lundi 21 août 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.hf
   •  Bitdefender: Trojan.Clicker.Agent.HB


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il modifie des registres

 Fichiers  Il supprime les fichiers suivants:
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.gif
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.xml
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.js
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.css
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.cab
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.jsp
   • %temporary internet files%\Content.IE5\%tous les dossiers%\*.htm




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.baidu.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\Content.IE5\%répertoire choisi de façon aléatoire%\s.htm

– L'emplacement est le suivant:
   • http://www.baidu.com/img/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\Content.IE5\%répertoire choisi de façon aléatoire%\logo-yy.gif

 Registre La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • "W2KLpk"=dword:00000001

 Porte dérobée Serveur de contact:
Le suivant:
   • http://lilainet.vicp.net/001/**********

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.
En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
    • Le statut courant du malware

 Informations divers Mutex:
Il crée le Mutex suivant:
   • InternetClick

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le mercredi 20 septembre 2006
Description mise à jour par Andrei Ivanes le mercredi 18 octobre 2006

Retour . . . .