Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Agent.AGNY
La date de la découverte:24/01/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:205.449 Octets
Somme de contrôle MD5:0A834d4813f7b44024b2e68d20957aee
Version IVDF:7.00.02.41 - jeudi 24 janvier 2008

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Autorun.worm.g
   •  Kaspersky: Trojan-Downloader.Win32.Agent.hzy
   •  F-Secure: Trojan-Downloader.Win32.Agent.hzy
   •  Eset: Win32/AutoRun.HL
   •  Bitdefender: Trojan.Agent.AGNY


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité

 Fichiers Il s'autocopie dans les emplacements suivants:
   • c:\windows\system\lsass.exe
   • %corbeille%\Recycler\AutoLaunch.exe
   • %TEMPDIR%\services.exe



Il crée le répertoire suivant:
   • %TEMPDIR%\WinSecurityUpd



Les fichiers suivants sont créés:

– drive:\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%TEMPDIR%\WinSecurityUpd\ms_auto Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%TEMPDIR%\WinSecurityUpd\ms_drvlst Ceci est un fichier texte non malveillant avec le contenu suivant:
   • ABCDEFGHIJKLMNOPQRSTUVWXYZ

%TEMPDIR%\WinSecurityUpd\udpate~1.tmp Ceci est un fichier texte non malveillant avec le contenu suivant:
   • file

%TEMPDIR%\csrss.bat Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %TEMPDIR%\csrss.bat

%TEMPDIR%\ltmpp.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%TEMPDIR%\lsassexe.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\netsh.exe
Il exécute le fichier avec les paramètres suivantes : firewall set opmode disable


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe
Il exécute le fichier avec les paramètres suivantes : /c if exist %TEMPDIR%\csrss.bat call %TEMPDIR%\csrss.bat


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\ping.exe
Il exécute le fichier avec les paramètres suivantes : google.com > %TEMPDIR%\ping2.log

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le jeudi 19 juin 2008
Description mise à jour par Andrei Gherman le jeudi 19 juin 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.