Nume:TR/Agent.31232
Descoperit pe data de:08/01/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:31.232 Bytes
MD5:ab0dc0fa9f939f8894a4bde2d4009029
Versiune IVDF:7.00.01.204 - mardi 8 janvier 2008

 General Alias:
   •  Panda: W32/Agent.MPQ
   •  Eset: Win32/TrojanDownloader.FakeAlert.VY
   •  Bitdefender: Trojan.Generic.1318096


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\frmwrk32.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\uniq.tll



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://lsp-test-nax.ind.in/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://lsp-test-nax.ind.in/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://pmsoftware.biz/cgi-bin/**********?code=0000015
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://lsp-test-nax.ind.in/**********?code=0000015
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresele sunt urmatoarele:
   • http://searchinv**********/?dn=lsp-test-nax.ind.in&flrdr=yes&nxte=gif
   • http://searchrein**********/?dn=lsp-test-nax.ind.in&flrdr=yes&nxte=gif
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Framework Windows"="frmwrk32.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   • "NoActiveDesktopChanges"=dword:0x00000001
   • "NoSetActiveDesktop"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:0x00000001



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   Noua valoare:
   • "GeneralFlags"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoActiveDesktopChanges"=dword:0x00000001
   • "NoSetActiveDesktop"=dword:0x00000001

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe


 Alte informatii Sir de caractere:
In plus, mai contine urmatoarele siruri de caractere:
   • Warning! Security report
   • Your computer is infected! It is recommended to start spyware cleaner tool.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le jeudi 25 février 2010
Description mise à jour par Petre Galan le vendredi 26 février 2010

Retour . . . .