Description complète

Nume:	TR/Agent.YU.2
Descoperit pe data de:	12/09/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	137.216 Bytes
MD5:	c6dad9eb2cf8de75a481122094b303e3
Versiune VDF:	6.35.01.215
Versiune IVDF:	6.35.01.219 - mercredi 13 septembre 2006

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan.Win32.Agent.yu
   • TrendMicro: TROJ_AGENT.ETQ
   • F-Secure: Trojan.Win32.Agent.yu
   • Eset: Win32/Agent.YU

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarele locatii:
• %WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe
• %WINDIR%\WinSxS\Manifests\SMSS.exe

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ALG"="%WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe"
   • "SERVICES"="%WINDIR%\WinSxS\Manifests\SMSS.exe"

Se adauga in registrii sistemului:

– [HKCU\Software\Obsidium]

Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Vechea valoare:
   • "NoStartMenuMFUprogramsList"=%setarile utilizatorului%
   • "NoStartMenuPinnedList"=%setarile utilizatorului%
   • "NoStartMenuSubFolders"=%setarile utilizatorului%
   • "NoCommonGroups"=%setarile utilizatorului%
   • "NoSMMyPictures"=%setarile utilizatorului%
   • "NoStartMenuMyMusic"=%setarile utilizatorului%
   • "NoSMMyDocs"=%setarile utilizatorului%
   • "NoDesktop"=%setarile utilizatorului%
   • "NoActiveDesktop"=%setarile utilizatorului%
   • "NoViewOnDrive"=%setarile utilizatorului%
   Noua valoare:
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   Vechea valoare:
   • "NoViewContextMenu"=%setarile utilizatorului%
   Noua valoare:
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Start_ShowRun"=%setarile utilizatorului%
   Noua valoare:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Vechea valoare:
   • "NoViewContextMenu"=%setarile utilizatorului%
   Noua valoare:
   • "NoViewContextMenu"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Start_ShowRun"=%setarile utilizatorului%
   Noua valoare:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Vechea valoare:
   • "NoStartMenuPinnedList"=%setarile utilizatorului%
   • "NoStartMenuMFUprogramsList"=%setarile utilizatorului%
   • "NoStartMenuSubFolders"=%setarile utilizatorului%
   • "NoCommonGroups"=%setarile utilizatorului%
   • "NoSMMyPictures"=%setarile utilizatorului%
   • "NoStartMenuMyMusic"=%setarile utilizatorului%
   • "NoSMMyDocs"=%setarile utilizatorului%
   • "NoDesktop"=%setarile utilizatorului%
   • "NoActiveDesktop"=%setarile utilizatorului%
   • "NoViewOnDrive"=%setarile utilizatorului%
   • "NoControlPanel"=%setarile utilizatorului%
   • "NoDrives"=%setarile utilizatorului%
   • "NoRun"=%setarile utilizatorului%
   • "NoFind"=%setarile utilizatorului%
   • "NoFavoritesMenu"=%setarile utilizatorului%
   • "NoRecentDocsMenu"=%setarile utilizatorului%
   • "NoLogOff"=%setarile utilizatorului%
   • "NoClose"=%setarile utilizatorului%
   • "NoSaveSettings"=%setarile utilizatorului%
   • "NoUserNameInStartMenu"=%setarile utilizatorului%
   • "NoToolbarCustomize"=%setarile utilizatorului%
   • "NoThemesTab"=%setarile utilizatorului%
   • "NoSMHelp"=%setarile utilizatorului%
   • "NoPrinterTabs"=%setarile utilizatorului%
   • "NoPrinters"=%setarile utilizatorului%
   • "NoNetHood"=%setarile utilizatorului%
   • "NoManageMyComputerVerb"=%setarile utilizatorului%
   Noua valoare:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Pagina de start in Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Start Page"=%setarile utilizatorului%
   • "Window title"=%setarile utilizatorului%
   Noua valoare:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Start Page"=%setarile utilizatorului%
   • "Window title"=%setarile utilizatorului%
   • "NoControlPanel"=%setarile utilizatorului%
   • "NoDrives"=%setarile utilizatorului%
   • "NoRun"=%setarile utilizatorului%
   • "NoFind"=%setarile utilizatorului%
   • "NoFavoritesMenu"=%setarile utilizatorului%
   • "NoRecentDocsMenu"=%setarile utilizatorului%
   • "NoLogOff"=%setarile utilizatorului%
   • "NoClose"=%setarile utilizatorului%
   • "NoSaveSettings"=%setarile utilizatorului%
   • "NoUserNameInStartMenu"=%setarile utilizatorului%
   • "NoToolbarCustomize"=%setarile utilizatorului%
   • "NoThemesTab"=%setarile utilizatorului%
   • "NoSMHelp"=%setarile utilizatorului%
   • "NoPrinterTabs"=%setarile utilizatorului%
   • "NoPrinters"=%setarile utilizatorului%
   • "NoNetHood"=%setarile utilizatorului%
   • "NoManageMyComputerVerb"=%setarile utilizatorului%
   Noua valoare:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Vechea valoare:
   • "DisableTaskMgr"=%setarile utilizatorului%
   • "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Vechea valoare:
   • "DisableTaskMgr"=%setarile utilizatorului%
   • "NoDispCPL"=%setarile utilizatorului%
   • "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Reduce setarile de securitate din Internet Explorer:
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   Vechea valoare:
   • "NoBrowserClose"=%setarile utilizatorului%
   • "NoNavButtons"=%setarile utilizatorului%
   • "NoSelectDownloadDir"=%setarile utilizatorului%
   • "NoBrowserContextMenu"=%setarile utilizatorului%
   • "NoBrowserOptions"=%setarile utilizatorului%
   Noua valoare:
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

Formatul orei:
– [HKCU\Control Panel\International]
   Vechea valoare:
   • "sTimeFormat"=%setarile utilizatorului%
   Noua valoare:
   • "sTimeFormat"="ÁËßÄÜ"

– [HKCU\Control Panel\Desktop]
   Vechea valoare:
   • "MenuShowDelay"=%setarile utilizatorului%
   • "WallpaperOriginX"=%setarile utilizatorului%
   • "WallpaperOriginY"=%setarile utilizatorului%
   Noua valoare:
   • "MenuShowDelay"="9999"
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Noua valoare:
   • "DiskSpaceThreshold"=dword:00000099

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "LegalNoticeCaption"=%setarile utilizatorului%
   • "LegalNoticeText"=%setarile utilizatorului%
   Noua valoare:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü. Â îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   Vechea valoare:
   • "LegalNoticeCaption"=%setarile utilizatorului%
   • "LegalNoticeText"=%setarile utilizatorului%
   Noua valoare:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü. Â îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Vechea valoare:
   • "DisableSR"=%setarile utilizatorului%
   • "RPLifeInterval"=%setarile utilizatorului%
   Noua valoare:
   • "DisableSR"=dword:00000001
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   Vechea valoare:
   • "NoAddRemovePrograms"=%setarile utilizatorului%
   Noua valoare:
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Vechea valoare:
   • "NoAddRemovePrograms"=%setarile utilizatorului%
   Noua valoare:
   • "NoAddRemovePrograms"=dword:00000001

Terminarea proceselor Lista cu serviciile dezactivate:
• System Restore
• Task Manager

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Adriana Popa le vendredi 27 octobre 2006
Description mise à jour par Adriana Popa le lundi 30 octobre 2006

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils