Nom:TR/Agent.NL.21
La date de la découverte:11/09/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:82.944 Octets
Somme de contrôle MD5:4e19ffc16eaca8513df29d1489e69396
Version VDF:6.35.01.208
Version IVDF:6.35.01.212 - mardi 12 septembre 2006

 Général L'alias:
   •  Kaspersky: Trojan.Win32.Agent.nl


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Explorer 2238"=%le dossier d'exécution du malware%\%le fichier exécuté%



Les valeurs des clés de registre suivantes sont supprimées:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server
–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server


Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2238}\
   InProcServer32
   • "(Default)""=%le dossier d'exécution du malware%\%le fichier exécuté%
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"="DCOM Server 2238"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2238"="{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com


 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur un port TCP aléatoire


Serveur de contact:
Le suivant:
   • 208.66.195**********:2238



Capacités d'accès à distance:
    • Désactiver DCOM
    • Télécharger un fichier
    • Envoyer des e-mails

 Informations divers Mutex:
Il crée les Mutex suivants:
   • hs5pdllv42238
   • hs5p_av_mutex

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Bogdan Iliuta le lundi 2 octobre 2006
Description mise à jour par Bogdan Iliuta le vendredi 27 octobre 2006

Retour . . . .