Nom:TR/Agent.VG.8
La date de la découverte:06/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:18.432 Octets
Somme de contrôle MD5:b00760a27528fe13c8750497f3be2b91
Version VDF:6.36.00.80
Version IVDF:6.36.00.96 - jeudi 12 octobre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-CVT
   •  Kaspersky: Trojan.Win32.Agent.aae
   •  F-Secure: Trojan.Win32.Agent.aae
   •  VirusBuster: Trojan.Agent.EPL
   •  Bitdefender: Trojan.Agent.YN


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\win%chaîne de caractères aléatoire%32.dll



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\wineak32.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
Il exécute le fichier avec les paramètres suivantes : -embedding

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%chaîne de caractères aléatoire%32]
   • "Asynchronous"=dword:00000001
   • "DllName"="win%chaîne de caractères aléatoire%32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="EvtStartup"
   • "Shutdown"="EvtShutdown"

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • "Data"=dword:01c2a630
   • "LSTV"=%valeurs hexa%
   • "Brnd"=dword:0000030b
   • "Rid"=dword:000000cd
   • "LID"=dword:0000003a
   • "SCLIST"=%valeurs hexa%
   • "SSLIST"=%valeurs hexa%

 Porte dérobée Serveur de contact:
Tous les suivants:
   • here4search.biz/img/**********
   • smart-security.biz/img/**********
   • l.mezzicodec.net/a412/**********
   • dr.mcboo.com/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps de fonctionnement du Malware


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le lundi 13 novembre 2006
Description mise à jour par Adriana Popa le lundi 13 novembre 2006

Retour . . . .