TR/Agent.DL.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.DL.2
La date de la découverte:	24/08/2005
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	36.969 Octets
Somme de contrôle MD5:	13f81b6b0d9cd62837cfebc22777cf63
Version VDF:	6.31.01.176

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Agent.gf
   • TrendMicro: TROJ_AGENT.XZ
   • Sophos: Troj/Dermon-D
   • Panda: Trj/Agent.AII
   • VirusBuster: Trojan.Agent.PK

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\winserver.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %SYSDIR%\winserv.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %SYSDIR%\winserv32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %SYSDIR%\winserv.ini Contient des paramètres employé par le malware
– %SYSDIR%\winserv.dat Ce fichier contient des frappes de touche collectés.

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://pleskin.**********.ua/part3/check.dat

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   L'ancienne valeur:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   La nouvelle valeur:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   L'ancienne valeur:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   La nouvelle valeur:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

Arrêt de processus: La liste des processus qui sont terminés:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe

Porte dérobée Les ports suivants sont ouverts:

– %SYSDIR%\lsass.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée
– %SYSDIR%\lsass.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée

Serveur de contact:
Le suivant:
   • http://pleskin.**********.ua/

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.
Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.
    • Les variables d'environnement
    • L'adresse IP:
    • Information sur le réseau
    • Port ouvert
    • Information sur le système d'exploitation Windows

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'exécution dans un processus.

Nom du processus:
• lsass.exe

Informations divers Mutex:
Il crée le Mutex suivant:
• IS_ALIVE

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers

La méthode utilisée:
• Caché de Windows API

Détails de fichier Langage de programmation:
Le fichier a été écrit en Borland C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Oliver Auerbach sur Wed, 24 Aug 2005 20:58 (GMT+1)
Description mise à jour par Oliver Auerbach sur Fri, 26 Aug 2005 00:31 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour