TR/Spy.Agent.abu.DLL - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Agent.abu.DLL
La date de la découverte:	01/03/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	488.448 Octets
Somme de contrôle MD5:	a947ca12c03c3bf3501656065615f114
Version VDF:	6.33.01.41

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Sophos: Troj/Raser-Z

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

Registre Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\MediaPlayer\Preferences\msld]
• "ss1"="%chaîne de caractères aléatoire%"

– [HKCU\Software\Microsoft\MovieMaker\RecordSettings\CaptureSet]
• "Set"=%valeurs hexa%

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet.

Sujet:
Le suivant:
• %rassemblé sur l'Internet%

Corps:
– Il contient du code HTML

Le corps de l'email est le suivant:
• %rassemblé sur l'Internet%

L'email ressemble à celui-ci:

Envoie de messages La création des adresses pour champ DE:
Pour produire des adresses il utilise la chaîne de caractères suivante:
   • %chaîne de caractères aléatoire%

Le domaine est un de ceux qui suivent:
   • 163.net; 168city.com; 263.net; 2trom.com; 326.cc; aaronkwok.net;
      achivesoftware.net; acuario.com; aguascalientes.com; alacarta.com;
      albur.com; alcoholicosanonimos.com; alemail.com; alit-syuhada.net;
      allsaintsfan.com; aloisius.com; alphaaqua.com; altacocina.com;
      ammacash.com; amrer.net; amuro.net; amuromail.com; andylau.net;
      antronomia.com; anuncia.com; aol.com; ardiente.com;
      arizonahuntingguide.com; arkansas.net; armandine.com;
      artesmarciales.com; asistencia.org; athenachu.net; atlanta.com;
      audiohack.com; backstreetboysclub.com; badtzmail.com;
      barriolatino.com; belice.com; billonario.com; bkkmail.com;
      boardermail.com; boyzoneclub.com; britneyclub.com; buenhumor.com;
      buildhosting.com; busquedas.com; callwebcenter.com; capitalino.com;
      cartonista.com; celineclub.com; check1check.com; chido.com;
      chihuahua.com; chocofan.com; cienciaficcion.com; cinemexicano.com;
      coahuila.com; cocolee.net; codserver.com; colima.com;
      comidamexicana.com; compuserve.com; correo1.com; costarrica.com;
      crewstart.com; crosxshell.ws; cs.com; cuernavaca.com; dbzmail.com;
      depelicula.com; deportista.com; derechoshumanos.com; dogmail.org;
      earthlink.net; edomex.com; e-hkma.com; ejecutivo.com; elchavo.com;
      erols.com; eshopvn.org; ethailand.com; ezagenda.com; fannclub.com;
      fastermail.com; ferizajichat.net; fiestabrava.com; filantropia.com;
      finklfan.com; flytecrew.com; freeproblem.com; fumador.com;
      futbolamericano.com; futbolsoccer.com; garzagarcia.com; geocities.com;
      gmx.de; gobiernofederal.com; grandesligas.com; grungecafe.com;
      guadalupano.com; guanajuato.com; gundamfan.com; heesun.net;
      horafeliz.com; hot.ee; hotmail.com; hsuchi.net; ilusionista.com;
      indiya.com; infantil.com; islasmarias.com; jawahar2003.com;
      jerusalen.com; jojomail.com; jpopmail.com; juno.com; kamarbarik.com;
      kamenica.org; kellychen.com; kepala.info; kichimail.com;
      kinki-kids.com; kunmail.com; kyokofukada.net; lapalabra.com;
      leehom.net; lenalex.com; leonlai.net; libero.it; likino.com;
      lissamail.com; lopezclub.com; louiskoo.com; lovecat.com; lujuria.com;
      m3xico.com; madhuri.com; mail.com; malaysia.net; marsnetgroup.org;
      mashoor.net; mcdull.net; mcimail.com; mejico.com; mekong-malaria.org;
      melodymail.com; mexxxico.com; michoacan.com; miho-nakayama.com;
      mindspring.com; morelos.com; movemail.com; mozartmail.com; msn.com;
      mundoanimal.com; mycounterstrike.com; nayarit.com; nctta.org;
      nicholastse.net; nicolastse.com; norika-fujiwara.com; norikomail.com;
      notimexico.com; ns.sympatico.ca; nuevoleon.com; odorstripper.com;
      oficinadecorreo.com; osopanda.com; otakumail.com; pacbell.net;
      pacific.net.hk; pastandpresents-gifts.com; pcmail.com.tw;
      pekklemail.com; picanteperosabroso.com; politickin.com; pormexico.com;
      portugalnet.com; postaldigital.com; programador.com; puebla.com;
      puertorrico.com; purinmail.com; qdice.com; queretaro.com;
      quintanaroo.com; radioactivo.com; radiomexico.com; ranmamail.com;
      rdominicana.com; regiomontano.com; rickymail.com; rotario.com;
      roxette.org; saladeprensa.com; sammail.com; sammimail.com;
      sanluis.com; server.com; server.net; sesmail.com; sexxxo.com;
      shaniastuff.com; singapore.net; skim.com; slamdunkfan.com;
      smapxsmap.net; softhome.net; southparkmail.com; superdirectorio.com;
      supersonicos.com; surfeador.com; surfy.net; surrealismo.com;
      takuyakimura.com; tamaulipas.com; tamil.com; tegucigalpa.com;
      tenchiclub.com; tepasasdeveras.com; tlaxcala.com; tlcfan.com;
      t-online.de; tuxtla.com; u2club.com; ultrapostman.com; universo.com;
      usa.net; ustedopina.com; uymail.com; vanhoanghethuat.com;
      veracruz-llave.com; vivianhsu.net; webtv.net; wongfaye.com;
      worldnet.att.net; yahoo.com; yyhmail.com; zapopan.com; zhaowei.net;
      zipolite.com; zzn.com

Recueillir des adresses:
Il recueille des adresses en entrant en contact avec le site web suivant:
   • www.derklai**********

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • %rassemblé sur l'Internet%
   • monkeys.com
   • spamcop.net
   • dsbl.org
   • five-ten-sg.com
   • postmaster@usa.net
   • spamhaus.org
   • www.mail-abuse.com
   • sorbs.net
   • blitzed.org/proxy

Porte dérobée Le port suivant est ouvert:

– winlogon.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.

Serveur de contact:
Tous les suivants:
   • www.derklaif.biz/**********
   • www.yangrstv.biz/**********
   • http://jupitersatellites.biz/newbot87/**********
   • http://jupitersatellites.biz/newbot87/**********
   • http://jupitersatellites.biz/newbot87/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • L'adresse IP:
    • Le statut courant du malware
    • Port ouvert
    • L'ID de la plateforme

Capacités d'accès à distance:
    • Relié au Spam

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Voir la description brève ici.

Description inséré par Daniel Constantin sur Thu, 02 Mar 2006 13:05 (GMT+1)
Description mise à jour par Daniel Constantin sur Thu, 09 Mar 2006 15:37 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour