Nom:TR/Agent.YU.2
La date de la découverte:12/09/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:137.216 Octets
Somme de contrôle MD5:c6dad9eb2cf8de75a481122094b303e3
Version VDF:6.35.01.215
Version IVDF:6.35.01.219 - mercredi 13 septembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan.Win32.Agent.yu
   •  TrendMicro: TROJ_AGENT.ETQ
   •  F-Secure: Trojan.Win32.Agent.yu
   •  Eset: Win32/Agent.YU


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe
   • %WINDIR%\WinSxS\Manifests\SMSS.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ALG"="%WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe"
   • "SERVICES"="%WINDIR%\WinSxS\Manifests\SMSS.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Obsidium]


Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   L'ancienne valeur:
   • "NoStartMenuMFUprogramsList"=%réglages définis par l'utilisateur%
   • "NoStartMenuPinnedList"=%réglages définis par l'utilisateur%
   • "NoStartMenuSubFolders"=%réglages définis par l'utilisateur%
   • "NoCommonGroups"=%réglages définis par l'utilisateur%
   • "NoSMMyPictures"=%réglages définis par l'utilisateur%
   • "NoStartMenuMyMusic"=%réglages définis par l'utilisateur%
   • "NoSMMyDocs"=%réglages définis par l'utilisateur%
   • "NoDesktop"=%réglages définis par l'utilisateur%
   • "NoActiveDesktop"=%réglages définis par l'utilisateur%
   • "NoViewOnDrive"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   L'ancienne valeur:
   • "NoViewContextMenu"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Start_ShowRun"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   L'ancienne valeur:
   • "NoViewContextMenu"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoViewContextMenu"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Start_ShowRun"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoStartMenuPinnedList"=%réglages définis par l'utilisateur%
   • "NoStartMenuMFUprogramsList"=%réglages définis par l'utilisateur%
   • "NoStartMenuSubFolders"=%réglages définis par l'utilisateur%
   • "NoCommonGroups"=%réglages définis par l'utilisateur%
   • "NoSMMyPictures"=%réglages définis par l'utilisateur%
   • "NoStartMenuMyMusic"=%réglages définis par l'utilisateur%
   • "NoSMMyDocs"=%réglages définis par l'utilisateur%
   • "NoDesktop"=%réglages définis par l'utilisateur%
   • "NoActiveDesktop"=%réglages définis par l'utilisateur%
   • "NoViewOnDrive"=%réglages définis par l'utilisateur%
   • "NoControlPanel"=%réglages définis par l'utilisateur%
   • "NoDrives"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoFavoritesMenu"=%réglages définis par l'utilisateur%
   • "NoRecentDocsMenu"=%réglages définis par l'utilisateur%
   • "NoLogOff"=%réglages définis par l'utilisateur%
   • "NoClose"=%réglages définis par l'utilisateur%
   • "NoSaveSettings"=%réglages définis par l'utilisateur%
   • "NoUserNameInStartMenu"=%réglages définis par l'utilisateur%
   • "NoToolbarCustomize"=%réglages définis par l'utilisateur%
   • "NoThemesTab"=%réglages définis par l'utilisateur%
   • "NoSMHelp"=%réglages définis par l'utilisateur%
   • "NoPrinterTabs"=%réglages définis par l'utilisateur%
   • "NoPrinters"=%réglages définis par l'utilisateur%
   • "NoNetHood"=%réglages définis par l'utilisateur%
   • "NoManageMyComputerVerb"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

La page de démarrage d'Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Start Page"=%réglages définis par l'utilisateur%
   • "Window title"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Start Page"=%réglages définis par l'utilisateur%
   • "Window title"=%réglages définis par l'utilisateur%
   • "NoControlPanel"=%réglages définis par l'utilisateur%
   • "NoDrives"=%réglages définis par l'utilisateur%
   • "NoRun"=%réglages définis par l'utilisateur%
   • "NoFind"=%réglages définis par l'utilisateur%
   • "NoFavoritesMenu"=%réglages définis par l'utilisateur%
   • "NoRecentDocsMenu"=%réglages définis par l'utilisateur%
   • "NoLogOff"=%réglages définis par l'utilisateur%
   • "NoClose"=%réglages définis par l'utilisateur%
   • "NoSaveSettings"=%réglages définis par l'utilisateur%
   • "NoUserNameInStartMenu"=%réglages définis par l'utilisateur%
   • "NoToolbarCustomize"=%réglages définis par l'utilisateur%
   • "NoThemesTab"=%réglages définis par l'utilisateur%
   • "NoSMHelp"=%réglages définis par l'utilisateur%
   • "NoPrinterTabs"=%réglages définis par l'utilisateur%
   • "NoPrinters"=%réglages définis par l'utilisateur%
   • "NoNetHood"=%réglages définis par l'utilisateur%
   • "NoManageMyComputerVerb"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   L'ancienne valeur:
   • "DisableTaskMgr"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableTaskMgr"=%réglages définis par l'utilisateur%
   • "NoDispCPL"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   L'ancienne valeur:
   • "NoBrowserClose"=%réglages définis par l'utilisateur%
   • "NoNavButtons"=%réglages définis par l'utilisateur%
   • "NoSelectDownloadDir"=%réglages définis par l'utilisateur%
   • "NoBrowserContextMenu"=%réglages définis par l'utilisateur%
   • "NoBrowserOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

Le format de l'heure"
– [HKCU\Control Panel\International]
   L'ancienne valeur:
   • "sTimeFormat"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "sTimeFormat"="ÁËßÄÜ"

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "MenuShowDelay"=%réglages définis par l'utilisateur%
   • "WallpaperOriginX"=%réglages définis par l'utilisateur%
   • "WallpaperOriginY"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "MenuShowDelay"="9999"
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   La nouvelle valeur:
   • "DiskSpaceThreshold"=dword:00000099

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "LegalNoticeCaption"=%réglages définis par l'utilisateur%
   • "LegalNoticeText"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "LegalNoticeCaption"=%réglages définis par l'utilisateur%
   • "LegalNoticeText"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   L'ancienne valeur:
   • "DisableSR"=%réglages définis par l'utilisateur%
   • "RPLifeInterval"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableSR"=dword:00000001
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   L'ancienne valeur:
   • "NoAddRemovePrograms"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   L'ancienne valeur:
   • "NoAddRemovePrograms"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoAddRemovePrograms"=dword:00000001

 Arrêt de processus:  La liste des services qui sont désactivés:
   • System Restore
   • Task Manager

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le vendredi 27 octobre 2006
Description mise à jour par Adriana Popa le lundi 30 octobre 2006

Retour . . . .