Nume:TR/Agent.VG.8
Descoperit pe data de:06/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:18.432 Bytes
MD5:b00760a27528fe13c8750497f3be2b91
Versiune VDF:6.36.00.80
Versiune IVDF:6.36.00.96 - jeudi 12 octobre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: BackDoor-CVT
   •  Kaspersky: Trojan.Win32.Agent.aae
   •  F-Secure: Trojan.Win32.Agent.aae
   •  VirusBuster: Trojan.Agent.EPL
   •  Bitdefender: Trojan.Agent.YN


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\win%combinatie de caractere aleatoare%32.dll



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\wineak32.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
cu urmatorii parametri: -embedding

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%combinatie de caractere aleatoare%32]
   • "Asynchronous"=dword:00000001
   • "DllName"="win%combinatie de caractere aleatoare%32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="EvtStartup"
   • "Shutdown"="EvtShutdown"

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • "Data"=dword:01c2a630
   • "LSTV"=%valori hex%
   • "Brnd"=dword:0000030b
   • "Rid"=dword:000000cd
   • "LID"=dword:0000003a
   • "SCLIST"=%valori hex%
   • "SSLIST"=%valori hex%

 Backdoor Servere contactate:
Urmatoarele:
   • here4search.biz/img/**********
   • smart-security.biz/img/**********
   • l.mezzicodec.net/a412/**********
   • dr.mcboo.com/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Timpul de cand malware-ul a fost lansat in executie


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Adriana Popa le lundi 13 novembre 2006
Description mise à jour par Adriana Popa le lundi 13 novembre 2006

Retour . . . .