TR/Agent.XM - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.XM
La date de la découverte:	27/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	57.344 Octets
Somme de contrôle MD5:	f2abf3e4a11693d67a8bfc820Cc09c9e
Version VDF:	6.35.01.09
Version IVDF:	6.35.01.09

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan.Win32.Agent.xm

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %SYSDIR%\ws386.ini

– %TEMPDIR%\_check32.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
– %SYSDIR%\aspi%nombre%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Hijack.Site.8

– %TEMPDIR%\_td%numéro hexadécimal%.tmp

Registre Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • "(Default)"="%SystemRoot%\system32\webcheck.dll"

Les clés de registre suivantes sont ajoutée:

– HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Policies\System
   • "DisableTaskMgr"=dword:00000001

– HKEY_USERS\.DEFAULT\Software\Microsoft\Sft
   • "(Default)"="{11EB0085-8FA4-4F94-BFA0-1721654617C1}"

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– L'accès aux liens URL suivants est effectivement bloqué :
   • "avp.com"; "ca.com"; "f-secure.com"; "housecall.trendmicro.com";
      "kaspersky.com"; "mcafee.com"; "my-etrust.com"; "nai.com";
      "networkassociates.com"; "secure.nai.com";
      "securityresponse.symantec.com"; "sophos.com"; "symantec.com";
      "trendmicro.com"; "us.mcafee.com"; "v4.windowsupdate.microsoft.com";
      "v5.windowsupdate.microsoft.com";
      "v5windowsupdate.microsoft.nsatc.net"; "viruslist.com";
      "windowsupdate.com"; "windowsupdate.microsoft.com"; "www.avp.com";
      "www.bitdefender.com"; "www.ca.com"; "www.f-secure.com";
      "www.kaspersky.com"; "www.mcafee.com"; "www.my-etrust.com";
      "www.nai.com"; "www.networkassociates.com"; "www.pandasoftware.com";
      "www.ravantivirus.com"; "www.sophos.com"; "www.symantec.com";
      "www.trendmicro.com"; "www.viruslist.com"; "www.windowsupdate.com";
      "www3.ca.com"; "downloads1.kaspersky-labs.com";
      "downloads2.kaspersky-labs.com"; "downloads3.kaspersky-labs.com";
      "downloads4.kaspersky-labs.com"; "downloads-us1.kaspersky-labs.com";
      "downloads-eu1.kaspersky-labs.com"; "kaspersky-labs.com";
      "mast.mcafee.com"; "dispatch.mcafee.com"; "update.symantec.com";
      "liveupdate.symantec.com"; "customer.symantec.com"; "rads.mcafee.com";
      "liveupdate.symantecliveupdate.com"; "download.mcafee.com";
      "updates.symantec.com"

Le fichier hôte modifié ressemblera à ceci:

Arrêt de processus: La liste des processus qui sont terminés:
   • "_avp32.exe"; "_avpcc.exe"; "_avpm.exe"; "actalert.exe";
      "adaware.exe"; "addestroyer.exe"; "advxdwin.exe"; "agentw.exe";
      "alertsvc.exe"; "alevir.exe"; "anti-trojan.exe"; "antivirus.exe";
      "atguard.exe"; "atupdater.exe"; "atwatch.exe"; "au.exe";
      "aupdate.exe"; "autoupdate.exe"; "ave32.exe"; "avengine.exe";
      "avgcc32.exe"; "avgctrl.exe"; "avgnt.exe"; "avgserv.exe";
      "avgserv9.exe"; "avguard.exe"; "avgw.exe"; "avkpop.exe";
      "avkserv.exe"; "avkservice.exe"; "avkwctl9.exe"; "avnt.exe";
      "avp.exe"; "avp32.exe"; "avpcc.exe"; "avpdos32.exe"; "avpm.exe";
      "avptc32.exe"; "avpupd.exe"; "avsched32.exe"; "avsynmgr.exe";
      "avwin95.exe"; "avwinnt.exe"; "avwupd.exe"; "avwupd32.exe";
      "avwupsrv.exe"; "avxmonitor9x.exe"; "avxmonitornt.exe"; "bidef.exe";
      "bidserver.exe"; "ccapp.exe"; "ccevtmgr.exe"; "cclaw.exe";
      "ccpxysvc.exe"; "ccsetmgr.exe"; "claw95.exe"; "claw95cf.exe";
      "clean.exe"; "cleaner.exe"; "cleaner3.exe"; "cleanpc.exe";
      "cmgrdian.exe"; "cpf9x206.exe"; "cpfnt206.exe"; "defalert.exe";
      "defscangui.exe"; "defwatch.exe"; "drweb32.exe"; "drweb32w.exe";
      "drwebscd.exe"; "drwebupw.exe"; "esafe.exe"; "etherd.exe";
      "ethereal.exe"; "f-agnt95.exe"; "f-agobot.exe"; "f-prot.exe";
      "f-prot95.exe"; "f-stopw.exe"; "findviru.exe"; "firedaemon.exe";
      "firewall.exe"; "fnrb32.exe"; "fp-win.exe"; "fp-win_trial.exe";
      "fprot.exe"; "frw.exe"; "fsav.exe"; "fsav32.exe"; "fsav95.exe";
      "guard.exe"; "guarddog.exe"; "guw32.exe"; "hacktracersetup.exe";
      "hbinst.exe"; "hbsrv.exe"; "hijackthis.exe"; "ifw2000.exe";
      "kavlite40eng.exe"; "kavpers40eng.exe"; "kavpf.exe"; "kavsvc.exe";
      "kerio-pf-213-en-win.exe"; "kerio-wrl-421-en-win.exe";
      "kerio-wrp-421-en-win.exe"; "mcagent.exe"; "mcmnhdlr.exe";
      "mcshield.exe"; "mctool.exe"; "mcupdate.exe"; "mcvsrte.exe";
      "mcvsshld.exe"; "mfin32.exe"; "mfw2en.exe"; "mfweng3.02d30.exe";
      "mgavrtcl.exe"; "mgavrte.exe"; "mpfagent.exe"; "mpfservice.exe";
      "mpftray.exe"; "mrflux.exe"; "n32scanw.exe"; "nav.exe";
      "navap.navapsvc.exe"; "navapsvc.exe"; "navapw32.exe"; "navdx.exe";
      "navengnavex15.navlu32.exe"; "navlu32.exe"; "navnt.exe";
      "navstub.exe"; "navw32.exe"; "navwnt.exe"; "nisum.exe"; "njeeves.exe";
      "nod32.exe"; "npf40_tw_98_nt_me_2k.exe"; "npfmessenger.exe";
      "nprotect.exe"; "npscheck.exe"; "npssvc.exe"; "nsched32.exe";
      "nssys32.exe"; "nstask32.exe"; "nsupdate.exe"; "nupgrade.exe";
      "outpost.exe"; "outpostinstall.exe"; "outpostproinstall.exe";
      "periscope.exe"; "persfw.exe"; "perswf.exe"; "pf2.exe";
      "pfwadmin.exe"; "safeweb.exe"; "spidernt.exe"; "trickler.exe";
      "trjscan.exe"; "trojantrap3.exe"; "undoboot.exe"; "updmgr.exe";
      "utpost.exe"; "virusmdpersonalfirewall.exe"; "visualguard.exe";
      "zonalm2601.exe"; "zonealarm.exe"; "zapro.exe"

La liste des services qui sont désactivés:
   • "wscsvc"
   • "SharedAccess"
   • "kavsvc"
   • "KAV"
   • "SAVScan"
   • "Symantec Core LC"
   • "navapsvc"
   • "wuauserv"

Porte dérobée Serveur de contact:
Un des suivants::
   • http://203.122.29.121:8081/**********
   • http://210.0.141.78:8010/**********
   • http://202.103.24.202:8010/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Envoyer des e-mails

Informations divers Afin de vérifier sa connexion Internet, le serveur DNS suivant est contacté:
   • ns.uk2.net

Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • www.yahoo.com
   • www.web.de

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Mon, 31 Jul 2006 13:12 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Mon, 07 Aug 2006 10:06 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour