ADSPY/Agent.AP.7 - Adware / Spyware

A voir aussi

Brève description

Description complète

Statistiques

Nom:	ADSPY/Agent.AP.7
La date de la découverte:	26/02/2007
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	88.340 Octets
Somme de contrôle MD5:	fc2936e5c2c1bcfcaaf40c8a7f2f69b9
Version VDF:	6.37.01.155
Version IVDF:	6.37.01.162

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: AdWare.Win32.Agent.at
   • TrendMicro: TROJ_AGENT.GZU
   • VirusBuster: Adware.Agent.AT
   • Eset: Win32/Adware.Toolbar.SearchColours
   • Bitdefender: Trojan.Agent.ACL

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres

Fichiers Le fichier suivant est créé:

– %PROGRAM FILES%\VSAdd-in\VSAdd-in.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.ACL

Registre Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452}]
   • @="&VSAdd-in"

– [HKCR\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452}\InProcServer32]
   • @="%PROGRAM FILES%\VSAdd-in\VSAdd-in.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
   • "{74DD705D-6834-439C-A735-A6DBE2677452}"=hex:00

– [HKCR\CLSID\{46A4E9D9-B30E-452A-8157-DBBEC8573B03}]
– [HKCR\CLSID\{46A4E9D9-B30E-452A-8157-DBBEC8573B03}\InProcServer32]
   • @="%PROGRAM FILES%\VSAdd-in\VSAdd-in.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {74DD705D-6834-439C-A735-A6DBE2677452}]
   • "DisplayName"="VSAdd-in for Internet Explorer"
   • "UninstallString"="regsvr32.exe /u /s \"%PROGRAM FILES%\VSAdd-in\VSAdd-in.dll""

– [HKCU\Software\Search Toolbar Corp]
– [HKCU\Software\Search Toolbar Corp\Toolbar Vision]
– [HKCU\Software\Search Toolbar Corp\Toolbar Vision\Options]
   • "New Window"=dword:00000000
   • "Show Page Search"=dword:00000001
   • "Sort Method"=dword:00000002
   • "Default Action"=dword:00000002

Porte dérobée Serveur de contact:
Le suivant:
• http://123topsearch.com/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PE Pack

Voir la description brève ici.

Description inséré par Adriana Popa sur Thu, 01 Mar 2007 10:46 (GMT+1)
Description mise à jour par Adriana Popa sur Thu, 01 Mar 2007 12:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour