Nume:TR/Drop.Agent.xgt
Descoperit pe data de:29/10/2008
Tip:Troian
Subtip:Dropper
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:43.520 Bytes
MD5:89fafe16e1b02883ea9f070079f205de
Versiune VDF:7.00.06.216
Versiune IVDF:7.00.06.219 - samedi 27 septembre 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Agent.xgt
   •  F-Secure: Trojan-Dropper.Win32.Agent.xgt
   •  Panda: Trj/Downloader.MDW
   •  Eset: Win32/TrojanDownloader.Small.OCS
   •  Bitdefender: Trojan.Agent.AKHF


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\winhoo32.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hijacker.Gen

%directorul de activare malware%\%fisier executat%.bat



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\cmd.exe
cu urmatorii parametri: /c start iexplore -embedding


– Numele fisierului:
   • %SYSDIR%\winver.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\MSSMGR\] (Hidden)
– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • Data=dword:066a5927
   • LSTV=hex:d8,07,0b,00,01,00,18,00,0a,00,02,00,1e,00,7c,00
   • Brnd=dword:00000bba
   • MSLIST=hex:83,98,99,9e,d5,df,de,9d,91,91,87,97,82,9e,8a,9f,93,99,8f,d0,91,65,75,2d,6a,69,62,29,64,65,6d,24,7b,64,7d,0e,3f,10,21,12,23,14,7d,62,63,68,23,35,34,6c,72,6c,71,46,40,56,0d,4a,40,52,08,41,44,4d,04,4f,40,4a,01,40,59,42,33,04,35,06,37,08,39,52,4f,48,4d,04,10,6f,28,35,22,2a,31,35,22,29,3b,29,23,62,23,2b,3b,7f,38,3f,34,7b,36,3b,33,76,29,32,2b,5c,6d,5e,6f,60,51,62
   • PID=dword:00000003
   • Rid=dword:00000266

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%sir de 3 caractere aleatoare%32]
   • Asynchronous=dword:00000001
   • DllName="winhoo32.dll"
   • Impersonate=dword:00000000
   • Startup="busStartup"
   • Shutdown="busShutdown"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Monica Ghitun le lundi 24 novembre 2008
Description mise à jour par Monica Ghitun le lundi 24 novembre 2008

Retour . . . .