TR/Agent.249856.B - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Agent.249856.B
La date de la découverte:	26/03/2008
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Non
Taille du fichier:	~200.000 Octets
Version VDF:	7.00.03.69
Version IVDF:	7.00.03.74

Général Méthode de propagation:
   • Email

Les alias:
   • Kaspersky: Trojan.Win32.Agent.gjp
   • F-Secure: Trojan.Win32.Agent.gjp
   • Bitdefender: Backdoor.Oderoor.BM

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\%chaîne de caractères aléatoire%.exe

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %chaîne de caractères aléatoire% ="%SYSDIR%\%chaîne de caractères aléatoire%.exe"

Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire% ]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\%chaîne de caractères aléatoire%.exe /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire%\Security]
   • "Security"=%valeurs hexa%

Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Adresses recueillies de l'Internet.

Porte dérobée Le port suivant est ouvert:

– %chaîne de caractères aléatoire%.exe sur le port TCP 49500

Serveur de contact:
Le suivant:
• **********:447

L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

Nom du processus :
• winlogon.exe

Informations divers Mutex:
Il crée le Mutex suivant:
• 2819717815

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Ernest Szocs sur Tue, 01 Apr 2008 10:56 (GMT+1)
Description mise à jour par Ernest Szocs sur Tue, 01 Apr 2008 12:22 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back