Nom:TR/Dldr.Agent.dne
La date de la découverte:21/09/2007
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:7.168 Octets
Somme de contrôle MD5:119907ad8248b2e06461d782ea93c00B
Version IVDF:6.39.01.161 - vendredi 21 septembre 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  F-Secure: Trojan-Downloader.Win32.Agent.dne
   •  Sophos: Troj/DwnLdr-GXX
   •  Grisoft: Downloader.Agent.STQ


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Registre Il enregistre un objet d'aide du navigateur en ajoutant les clés suivantes:

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}]
   • @ = H

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\InprocServer32]
   • @ = %ficher dll viral%
   • ThreadingModel = Apartment

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\ProgID]
   • @ = H.1

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\TypeLib]
   • @ = {71FC19DC-CEEC-45dc-B303-A85633166864}"

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://**********oso.com/newuser.php
   • http://**********oso.com/comm.php

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST
Le réponse du serveur est écrit dans le fichier: %SYSDIR%\comm.xml


Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le lundi 24 septembre 2007
Description mise à jour par Andrei Gherman le lundi 24 septembre 2007

Retour . . . .