Nome del virus:DR/Agent.MT
Scoperto:15/09/2004
Tipo:Dropper
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:179.712 Byte
Somma di controllo MD5:af9b414ca4e341e76d07e999aa1e0faa
Versione VDF:6.27.0.61

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Downloader-PE
   •  Kaspersky: Trojan-Dropper.Win32.Agent.mm
   •  TrendMicro: TROJ_AGENT.SZ
   •  VirusBuster: Trojan.DR.Agent.RV
   •  Bitdefender: Trojan.Dropper.Agent.MM


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Viene creato il seguente file:

%TEMPDIR%\installer.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Dyfuca.DB.1

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Installer"="%directory di esecuzione del malware%\%file eseguiti%"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valore precedente:
   • "CurrentLevel"=%impostazioni definite dell'utente%
   • "Flags"=%impostazioni definite dell'utente%
   • "1001"=%impostazioni definite dell'utente%
   • "1004"=%impostazioni definite dell'utente%
   • "1200"=%impostazioni definite dell'utente%
   • "1201"=%impostazioni definite dell'utente%
   • "1400"=%impostazioni definite dell'utente%
   • "1402"=%impostazioni definite dell'utente%
   • "1405"=%impostazioni definite dell'utente%
   • "1406"=%impostazioni definite dell'utente%
   • "1407"=%impostazioni definite dell'utente%
   • "1601"=%impostazioni definite dell'utente%
   • "1604"=%impostazioni definite dell'utente%
   • "1605"=%impostazioni definite dell'utente%
   • "1606"=%impostazioni definite dell'utente%
   • "1607"=%impostazioni definite dell'utente%
   • "1608"=%impostazioni definite dell'utente%
   • "1609"=%impostazioni definite dell'utente%
   • "1800"=%impostazioni definite dell'utente%
   • "1802"=%impostazioni definite dell'utente%
   • "1803"=%impostazioni definite dell'utente%
   • "1804"=%impostazioni definite dell'utente%
   • "1805"=%impostazioni definite dell'utente%
   • "1A00"=%impostazioni definite dell'utente%
   • "1A02"=%impostazioni definite dell'utente%
   • "1A03"=%impostazioni definite dell'utente%
   • "1A04"=%impostazioni definite dell'utente%
   • "1A05"=%impostazioni definite dell'utente%
   • "1A06"=%impostazioni definite dell'utente%
   • "1A10"=%impostazioni definite dell'utente%
   • "1C00"=%impostazioni definite dell'utente%
   • "1E05"=%impostazioni definite dell'utente%
   • "1206"=%impostazioni definite dell'utente%
   • "2001"=%impostazioni definite dell'utente%
   • "2004"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "CurrentLevel"=dword:00000001
   • "Flags"=dword:00000001
   • "1001"=dword:00000000
   • "1004"=dword:00000000
   • "1200"=dword:00000000
   • "1201"=dword:00000000
   • "1400"=dword:00000000
   • "1402"=dword:00000000
   • "1405"=dword:00000000
   • "1406"=dword:00000000
   • "1407"=dword:00000000
   • "1601"=dword:00000000
   • "1604"=dword:00000000
   • "1605"=dword:00000000
   • "1606"=dword:00000000
   • "1607"=dword:00000000
   • "1608"=dword:00000000
   • "1609"=dword:00000000
   • "1800"=dword:00000000
   • "1802"=dword:00000000
   • "1803"=dword:00000000
   • "1804"=dword:00000000
   • "1805"=dword:00000001
   • "1A00"=dword:00000000
   • "1A02"=dword:00000000
   • "1A03"=dword:00000000
   • "1A04"=dword:00000000
   • "1A05"=dword:00000000
   • "1A06"=dword:00000000
   • "1A10"=dword:00000001
   • "1C00"=dword:00010000
   • "1E05"=dword:00020000
   • "1206"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASProtect 2.0

Descrizione inserita da Razvan Olteanu su giovedì 8 settembre 2005
Descrizione aggiornata da Razvan Olteanu su mercoledì 21 settembre 2005

Indietro . . . .