Nom:TR/Dldr.Agent.amzp
La date de la découverte:31/10/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:77.828 Octets
Somme de contrôle MD5:20edfd7563e866c1c149fca2b03ec634
Version IVDF:7.01.00.23 - vendredi 31 octobre 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Trojan.Fakeavalert.B
   •  Mcafee: Downloader-BKM trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.amzp
   •  F-Secure: Trojan-Downloader.Win32.Agent.amzp
   •  Eset: Win32/TrojanDownloader.FakeAlert.OY trojan


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://193.142.244.55/**********/item_g.gif
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~tmpa.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/BHO.hfq


– L'emplacement est le suivant:
   • http://193.142.244.20/**********/216-1.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~tmpc.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.ULPM.Gen


– L'emplacement est le suivant:
   • http://bigimagecatalogue.com/**********/chagall.gif
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\~tmpd.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.87552.F

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MSFox"="%le fichier exécuté%"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Mozilla\MSFox]
   • "Str5"="%chaîne de caractères aléatoire%"
   • "Str9"="%chaîne de caractères aléatoire%"
   • "Str6"="%chaîne de caractères aléatoire%"
   • "Str7"="%chaîne de caractères aléatoire%"
   • "Str8"="%chaîne de caractères aléatoire%"
   • "Str4"="%chaîne de caractères aléatoire%"
   • "Str1"="%chaîne de caractères aléatoire%"
   • "Int2"=dword:%numéro hexadécimal%
   • "Int3"=dword:%numéro hexadécimal%

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:%numéro hexadécimal%

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andreas Feuerstein le vendredi 14 novembre 2008
Description mise à jour par Andreas Feuerstein le vendredi 14 novembre 2008

Retour . . . .