Description complète

Nom:	TR/Agent.tcn
La date de la découverte:	06/06/2009
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible
Fichier statique:	Non
Version VDF:	7.01.04.64

Général    • Il ne possède pas de propre routine de propagation
   • Kaspersky: Backdoor.Win32.Agent.ahrt
   • F-Secure: Backdoor.Win32.Agent.ahrt
   • Sophos: Mal/Generic-A
   • Bitdefender: Trojan.VB.NZF
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\systemserv32.exe
   • C:\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\appleJuice\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Bearshare\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\eDonkey2000\Incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\emule\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Gnucleus\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Grokster\My Grokster\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite K++\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\KMD\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\limewire\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Morpheus\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Overnet\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Rapigator\Share\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Shareaza\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Swaptor\Download\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Tesla\Files\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\WinMX\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\XoloX\Downloads\multi_keygen_for_532_games.exe

– Un fichier qui contient des adresses d'e-mail collectées:
   • %WINDIR%\wkernel32.sys

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– SystemService32
• %WINDIR%\systemserv32.exe

Porte dérobée Serveur de contact:
Le suivant:
   • http://blog.infolinux.ro/****************

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Les adresses email recueillies
    • Nom de l'ordinateur

Vol d'informations Il essaie de voler l'information suivante:

– La clé de CD suivante:
   • Steam

– Les mots de passe des programmes suivants:
   • Firefox
   • Steam

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth;
      :.hashin; :!hashin; :$hashin; :%hashin; :.secure; :!secure; :.syn

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Serban Ghiuta le mardi 28 juillet 2009
Description mise à jour par Serban Ghiuta le mercredi 29 juillet 2009

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils