Nome del virus:TR/Agent.DL.2
Scoperto:24/08/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:36.969 Byte
Somma di controllo MD5:13f81b6b0d9cd62837cfebc22777cf63
Versione VDF:6.31.01.176

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Agent.gf
   •  TrendMicro: TROJ_AGENT.XZ
   •  Sophos: Troj/Dermon-D
   •  Panda: Trj/Agent.AII
   •  VirusBuster: Trojan.Agent.PK


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\winserver.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\winserv.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\winserv32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\winserv.ini Contiene parametri utilizzati dal malware.
%SYSDIR%\winserv.dat Questo file contiene le battute di tastiera recuperate.



Prova a scaricare un file:

– La posizione è la seguente:
   • http://pleskin.**********.ua/part3/check.dat

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Valore precedente:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Nuovo valore:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Valore precedente:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Nuovo valore:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

 Processi terminati Lista dei processi che vengono terminati:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe


 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\lsass.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.
%SYSDIR%\lsass.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Il seguente:
   • http://pleskin.**********.ua/

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • File LOG creati
    • Variabili d'ambiente
    • Indirizzo IP
    • Informazioni sulla rete
    • Porta aperta
    • Informazioni sul sistema operativo Windows

 Sottrazione di informazioni – Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

 Come il virus si inserisce nei processi – Si inserisce come thread in un processo.

    Nome del processo:
   • lsass.exe


 Varie Mutex:
Crea il seguente Mutex:
   • IS_ALIVE

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– I propri file


Metodo utilizzato:
    • Nascosto dalle Windows API

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Borland C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Oliver Auerbach su mercoledì 24 agosto 2005
Descrizione aggiornata da Oliver Auerbach su venerdì 26 agosto 2005

Indietro . . . .