TR/Agent.SY.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.SY.1
La date de la découverte:	01/08/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	32.792 Octets
Somme de contrôle MD5:	51c535e0378c414d06bfe75ae64b643a
Version VDF:	6.35.01.32
Version IVDF:	6.35.01.32

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Proxy.Win32.Agent.dd
   • VirusBuster: Trojan.DR.Agent.DRA

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique

Fichiers Une section est ajoutée à un fichier.
– A: %SYSDIR%.ini Avec le contenu suivant:
• [IDslow]
IDVer32=6882359

Le fichier suivant est créé:

– %SYSDIR%\wndregmon32.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Proxy.Agent.DD.7

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Adresses recueillies de l'Internet.
– Les adresses créées

Sujet:
Le suivant:
• %rassemblé sur l'Internet%

Corps:
– Il contient du code HTML

Le corps de l'email est le suivant:
• %rassemblé sur l'Internet%

Porte dérobée Serveur de contact:
Un des suivants::
   • http://72.36.250.234**********
   • http://72.36.250.234**********
   • http://72.36.250.234**********
   • http://72.36.250.234**********
   • http://72.232.13.2**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Capacités d'accès à distance:
    • Relié au Spam

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\wndregmon32.DLL

Nom du processus :
• %tous les processus en exécution"

Informations divers Mutex:
Il crée le Mutex suivant:
• pendosi-zabery-vse-vashi-babki

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Teodor Onisor sur Thu, 10 Aug 2006 11:14 (GMT+1)
Description mise à jour par Teodor Onisor sur Fri, 11 Aug 2006 10:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour