Nom:TR/Agent.tcn
La date de la découverte:06/06/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Non
Version VDF:7.01.04.64

 Général    • Il ne possède pas de propre routine de propagation
   •  Kaspersky: Backdoor.Win32.Agent.ahrt
   •  F-Secure: Backdoor.Win32.Agent.ahrt
   •  Sophos: Mal/Generic-A
   •  Bitdefender: Trojan.VB.NZF
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\systemserv32.exe
   • C:\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\appleJuice\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Bearshare\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\eDonkey2000\Incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\emule\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Gnucleus\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Grokster\My Grokster\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite K++\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\KMD\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\limewire\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Morpheus\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Overnet\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Rapigator\Share\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Shareaza\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Swaptor\Download\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Tesla\Files\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\WinMX\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\XoloX\Downloads\multi_keygen_for_532_games.exe

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\wkernel32.sys

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– SystemService32
   • %WINDIR%\systemserv32.exe

 Porte dérobée Serveur de contact:
Le suivant:
   • http://blog.infolinux.ro/****************

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Les adresses email recueillies
    • Nom de l'ordinateur

 Vol d'informations Il essaie de voler l'information suivante:

– La clé de CD suivante:
   • Steam

– Les mots de passe des programmes suivants:
   • Firefox
   • Steam

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth;
      :.hashin; :!hashin; :$hashin; :%hashin; :.secure; :!secure; :.syn

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Serban Ghiuta le mardi 28 juillet 2009
Description mise à jour par Serban Ghiuta le mercredi 29 juillet 2009

Retour . . . .