TR/Spy.ProAg.21.3.A - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.ProAg.21.3.A
La date de la découverte:	19/09/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	246.349 Octets
Somme de contrôle MD5:	85fa8947452cfcc3da30d54f888fbf10
Version VDF:	6.32.00.16

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.ProAgent.21
   • Sophos: Troj/Progent-P
   • Grisoft: PSW.Agent.NR
   • VirusBuster: trojan TrojanSpy.ProAgent.I
   • Bitdefender: Trojan.Spy.Proagent.21

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\qservice.exe

Il écrase un fichier.
– %SYSDIR%\drivers\symredrv.sys

Avec le contenu suivant:
   • No more Mail Scanning =)
     Powered by ProAgent

Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %TEMPDIR%\htmpl.htm

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

– %SYSDIR%\drivers\KeenSense.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Hi criminal =)

– %SYSDIR%\drivers\ksdevice.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Hi criminal =)

– %WINDIR%\kurlmon.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.ProAgent.21.1

– %WINDIR%\services.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.ProAgent.21.2

– %SYSDIR%\HookApi.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.ProAgent.21

– %WINDIR%\k_urlmon.dll Ce fichier contient des frappes de touche collectés.

Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"

La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%numéro hexadécimal%
   • "pPid" = dword:%numéro hexadécimal%

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'expéditeur de cet e-mail est ce qui suit:
   • "ProAgent v2.1.0"

A:
Le destinataire de l'email est le suivant:
   • maturpejos@yahoo.com

Sujet:
Le suivant:
   • %le nom de l'ordinateur% is Online

Corps:
Le corps de l'email est le suivant:
   • %l'information volée%

Arrêt de processus: La liste des services qui sont désactivés:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les clés de CD suivantes:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Les mots de passe des programmes suivants:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: kurlmon.dll

    Nom du processus :
   • explorer.exe

– Il injecte le fichier suivant dans un processus: HookApi.dll

    Nom du processus :
   • explorer.exe

– Il injecte le fichier suivant dans un processus: services.dll

    Nom du processus :
   • iexplore.exe

Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • ege.edu.tr
   • ankara.edu.tr

Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.aol.com

Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers
– Ses propres processus
– Ses propres clés de registre

– Le fichier suivant:
• msehk.dll

– Les fichiers qui contiennent des chaines de signes suivantes dans leur nom de fichier:
• wins32

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Tue, 11 Apr 2006 16:10 (GMT+1)
Description mise à jour par Daniel Constantin sur Wed, 12 Apr 2006 08:23 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour