Nom:TR/Dldr.Agent.gcx
La date de la découverte:24/10/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Élevé
Potentiel de destruction:Élevé
Fichier statique:Non
Taille du fichier:~ 360.000 Octets
Version IVDF:7.00.07.81 - vendredi 24 octobre 2008

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier malveillant
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

%SYSDIR%\wbem\sysmgr.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Agent.gcx

%TEMPDIR%\%chaîne de caractères aléatoire de huit digits%.bat Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%ficher dll viral%
   • "ServiceMain"="ServiceMainFunc"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valeurs hexa%

 Porte dérobée Serveur de contact:
Un des suivants::
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

En conséquence il peut envoyer de l'information. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • La liste de Ajout/Suppression de programmes.
    • Nom de l'ordinateur
    • Information sur le réseau
    • Les informations rassemblées, décrites dans la section
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Thomas Wegele le vendredi 24 octobre 2008
Description mise à jour par Alexander Vukcevic le vendredi 24 octobre 2008

Retour . . . .