TR/Agent.PY.10 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.PY.10
La date de la découverte:	11/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	54.784 Octets
Somme de contrôle MD5:	eb4899e6df00aa00209f6452e92e11fd
Version VDF:	6.35.00.146
Version IVDF:	6.35.00.185

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Kaspersky: Backdoor.Win32.Allaple.a
   • TrendMicro: BKDR_AGENT.CXS
   • VirusBuster: Trojan.Agent.PKB
   • Bitdefender: Trojan.Agent.PY

La plateforme / le système d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il modifie des registres

Fichiers Il peut corrompre les dossiers suivants :
• \*.htm
• \*.html

Les fichiers suivants sont créés:

– \%chaîne de caractères aléatoire de huit digits%.exe
– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Allaple.A.1

– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Détecté comme: DR/RAHack.FF.2

– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Détecté comme: TR/Agent.PY.7

– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Détecté comme: TR/Agent.PY.8

– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Détecté comme: TR/Agent.PY.9

– %SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Détecté comme: TR/Agent.PY.11

Registre Les clés de registre suivantes sont ajoutée:

– HKCR\CLSID\{%le CLSID généré%}
   • (Default) = "%chaîne de caractères aléatoire%"

– HKCR\CLSID\{%le CLSID généré%}\LocalServer32
   • (Default) = "\%chaîne de caractères aléatoire de huit digits%.exe"

– HKCR\\CLSID\{%le CLSID généré%}\InprocServer32
   • (Default) = "%SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de mots de passe:
   • "123456789"; "12345678"; "11111111"; "password"; "qwertyui";
      "00000000"; "12341234"; "87654321"; "!@; $%^&*"; "*&^%$; @!"; "!@;
      $%^&*()"; "!@; $%^&*("; "(*&^%$; @!"; ")(*&^%$; @!"; "23456789";
      "PASSWORD"; "mypassword"; "remoteadmin"; "987654321"; "0987654321";
      "09876543"; "PASSWORD"; "5tg6yh"; "MyPassword"; "55555555";
      "999999999"; "22222222"; "20022002"; "20032003"; "20042004";
      "20052005"; "windoze2k"; "88888888"; "1234567890"; "0987654321";
      "nopassword"

La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

Le processus d'infection:
Il fait la machine compromise télécharger le malware à partir de l'ordinateur source infecté.
Le fichier téléchargé est stocké sur la machine compromise comme: C:\wutemp\irvxc.exe

Informations divers Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • http://www.if.ee
   • http://www.starman.ee

Mutex:
Il crée le Mutex suivant:
   • jhdgcjhasgdcjasgcjhg2763876uyg3fhg

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Thu, 31 Aug 2006 15:38 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Fri, 15 Sep 2006 14:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour