Nume:TR/Agent.DL.2
Descoperit pe data de:24/08/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:36.969 Bytes
MD5:13f81b6b0d9cd62837cfebc22777cf63
Versiune VDF:6.31.01.176

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Agent.gf
   •  TrendMicro: TROJ_AGENT.XZ
   •  Sophos: Troj/Dermon-D
   •  Panda: Trj/Agent.AII
   •  VirusBuster: Trojan.Agent.PK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winserver.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\winserv.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\winserv32.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\winserv.ini Contine parametri folositi de malware.
– %SYSDIR%\winserv.dat Acest fisier stocheaza datele introduse de utilizator la tastatura.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://pleskin.**********.ua/part3/check.dat

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Vechea valoare:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Noua valoare:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Vechea valoare:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Noua valoare:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

 Terminarea proceselor Lista cu procesele oprite:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe


 Backdoor Deschide porturile:

– %SYSDIR%\lsass.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– %SYSDIR%\lsass.exe port TCP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:

   • http://pleskin.**********.ua/

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.
Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Loguri create
    • Variabile de mediu
    • Adresa IP
    • Informatii despre retea
    • Port deschis
    • Informatii despre sistemul de operare

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Injectarea codului malware in alte procese – Se injecteaza ca un thread intr-un proces.

    Numele procesului:
   • lsass.exe


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • IS_ALIVE

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Borland C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Oliver Auerbach su mercoledì 24 agosto 2005
Descrizione aggiornata da Oliver Auerbach su venerdì 26 agosto 2005

Indietro . . . .