TR/Agent.PK.40 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.PK.40
La date de la découverte:	20/10/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	157.184 Octets
Somme de contrôle MD5:	45efb0ba59e951c998af6202eebfb385
Version VDF:	6.36.00.109
Version IVDF:	6.36.00.125

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan.Win32.Agent.pk

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Registre La valeur de la clé de registre suivante est supprimée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DCOM Server"=-

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\
   InProcServer32]
   • @="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler]
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "DCOM Server 2236"="{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com

Le fichier hôte modifié ressemblera à ceci:

Porte dérobée Serveur de contact:
Le suivant:
   • 208.66.195.**********:2236

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Information sur le système d'exploitation Windows

Informations divers Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net

Mutex:
Il crée les Mutex suivants:
   • hs5p_av_mutex
   • hs5pdllv42236

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Monica Ghitun sur Mon, 23 Oct 2006 09:29 (GMT+1)
Description mise à jour par Andrei Ivanes sur Thu, 09 Nov 2006 11:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour