Nom:TR/Dldr.Agent.awg.4
La date de la découverte:10/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:35.328 Octets
Somme de contrôle MD5:cd0B92cc20d1cd6b308077431bc1f8cd
Version VDF:6.36.00.87
Version IVDF:6.36.00.103 - vendredi 13 octobre 2006

 Général Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.awg
   •  Sophos: Troj/CarLoad-B
   •  Bitdefender: Trojan.Downloader.Agent.AOV


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Le fichier suivant est créé:

%SYSDIR%\srvc.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Agent.awg.4




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://bebbedaacfefbde.com/b/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • %URL du fichier téléchargé%
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\%chaîne de caractères aléatoire%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   WLogon
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "StartShell"="Entry"
   • "DllName"="srvc.dll"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://bebbedaacfefbde.com/b/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • Nom de l'ordinateur

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\srvc.dll

    Nom du processus :
   • %WINDIR%\Explorer.EXE

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://microsoft.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Bogdan Iliuta le vendredi 10 novembre 2006
Description mise à jour par Bogdan Iliuta le lundi 20 novembre 2006

Retour . . . .