TR/Agent.aoy.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.aoy.1
La date de la découverte:	14/06/2007
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	122.900 Octets
Somme de contrôle MD5:	0C32fc9d6fd3daf607a71630dfc22dbb
Version VDF:	6.39.00.13
Version IVDF:	6.39.00.13

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: AdClicker-FK
   • Kaspersky: Trojan.Win32.Agent.aoy
   • F-Secure: Trojan:W32/Fotomoto.A
   • Sophos: Troj/Agent-FXL
   • Panda: Trj/Downloader.OZB
   • Eset: Win32/Adware.Ezula

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
• %tempdir%\s1d4
• %tempdir%\s1d4.1

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%le dossier d'exécution du malware%\%le fichier exécuté% /service
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="DomainService"

La valeur de la clé de registre suivante est supprimée:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • DDC

Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'exécution du malware%\%le fichier
      exécuté%"="%le dossier d'exécution du malware%\%le
      fichier exécuté%"

La clé de registre suivante est ajoutée:

– [HKLM\Software\Microsoft\DomainService]
   • "internal_affiliate_id"=%numéro hexadécimal%
   • "db_number"=%numéro hexadécimal%
   • "user_id"=%numéro hexadécimal%
   • "installation_id"=%numéro hexadécimal%
   • "next_url_post_time"=%le temps courant%

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "SFCDisable"=dword:00000000
   La nouvelle valeur:
   • "SFCDisable"=dword:00000004

Porte dérobée Serveur de contact:
Un des suivants::
   • http://23.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Télécharger un fichier
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Alexandru Dinu sur Fri, 06 Jul 2007 13:01 (GMT+1)
Description mise à jour par Alexandru Dinu sur Fri, 06 Jul 2007 16:16 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back