TR/Agent.JH.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.JH.1
La date de la découverte:	28/09/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	103.447 Octets
Somme de contrôle MD5:	28b891a152e6c9430f5ad2023b3694e1
Version VDF:	6.32.0.46

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Backdoor.Dagonit
   • VirusBuster: Trojan.Agent.GT

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il supprime les fichiers suivants:
   • %SYSDIR%\dllcache\winlogon.exe
   • %SYSDIR%\dllcache\termsrv.dll
   • %SYSDIR%\dllcache\mstscax.dll

Les fichiers suivants sont créés:

– %SYSDIR%\wpap.exe
– %SYSDIR%\dalia2.exe
– %SYSDIR%\winspool.exe Détecté comme: TR/Agent.JH.2

– %SYSDIR%\dali.reg Ce fichier sert de drapeau à une routine interne.
– %SYSDIR%\system.bat Ce fichier séquentiel est employé pour effacer un fichier. Détecté comme: TR/Agent.JH.3

Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR\0000]
   • "Service"="TlntSvr"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Telnet"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="TlntSvr"

– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Enum]
   • "0"="Root\\LEGACY_TLNTSVR\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP\0000]
   • "Service"="NtLmSsp"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="NT LM Security Support Provider"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="NtLmSsp"

– [HKLM\SYSTEM\CurrentControlSet\Services\NtLmSsp\Enum]
   • "0"="Root\\LEGACY_NTLMSSP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF\0000\Control]
   • "ActiveService"="NPF"

– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
   • "Start"=dword:00000002

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   • "Start"=dword:00000002

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   • "Start"=dword:00000002

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver]
   • "Start"=dword:00000002

La clé de registre suivante est changée:

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   L'ancienne valeur:
   • @=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @=dword:0000000c

Porte dérobée Le port suivant est ouvert:

– tlntsvr.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée

Capacités d'accès à distance:
• Ouvrir une ligne de commande à distance

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• MEW 11

Voir la description brève ici.

Description inséré par Catalin Jora sur Wed, 28 Sep 2005 16:29 (GMT+1)
Description mise à jour par Catalin Jora sur Mon, 10 Oct 2005 08:59 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour