TR/Agent.SN.5 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.SN.5
La date de la découverte:	28/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	47.616 Octets
Somme de contrôle MD5:	414ecabfb540ea06e8c3d2eca24762d6
Version VDF:	6.35.01.18
Version IVDF:	6.35.01.18

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Bitdefender: Trojan.Agent.SN

La plateforme / le système d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\taskmgn.exe

Il supprime sa propre copie, exécutée initialement

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Task Manager"="%SYSDIR%\taskmgn.exe"

Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– HKLM\SOFTWARE\Microsoft\Security Center
   • "FirewallOverride"=dword:00000001

Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Microsoft\Security Center
   • "AntiVirusOverride"=dword:00000001

– HKCU\Software\Microsoft\DMSDOS
   • "Id"="%numéro hexadécimal%"
   • "Next Update"="%date dans le future% %l'heure courante%"
   • "Last Update"="%la date courante% %l'heure courante%"
   • "CurrentVersion"=%nombre%

– HKCU\SOFTWARE\Microsoft\DMSDOS\RM
   • "%le dossier d'exécution du malware%\%le fichier exécuté%"="%le dossier d'exécution du malware%\%le fichier exécuté%"

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://87.249.38.126/**********
   • http://87.249.38.126/asg234/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Information sur le système d'exploitation Windows

Capacités d'accès à distance:
    • Télécharger un fichier

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
• http://v5.windowsupdate.microsoft.com/v5consumer/QyehIhd.inc
Il crée le Mutex suivant:
• 68E1D888-19B3-4F40-8941-95EC38E4AF69

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Tue, 08 Aug 2006 12:20 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Thu, 17 Aug 2006 14:18 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour