Nome del virus:TR/Agent.121
Scoperto:17/03/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:24.577 Byte
Somma di controllo MD5:27cdc487080B61e035fffb686fd882ae
Versione VDF:6.34.00.61

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: PWSteal.Reoxtan
   •  Mcafee: PWS-Reox
   •  TrendMicro: TSPY_REOX.F
   •  Bitdefender: Trojan.Spy.Reox.E


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\service\explorer.exe



Viene creato il seguente file:

%SYSDIR%\service\dllp.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%




Prova a scaricare un file:

– La posizione è la seguente:
   • http://ccunion.org/**********
Viene salvato in locale sotto: %SYSDIR%\compress.exe

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • 1 = %SYSDIR%\service\explorer.exe



Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\]
   Nuovo valore:
   • DoNotAllowExceptions = 0
   • EnableFirewall = 0
   • DisableNotifications = 1

– [HKLM\SOFTWARE\Microsoft\Security Center\]
   Nuovo valore:
   • AntiVirusDisableNotify = 1

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\service\explorer.exe sulla porta TCP 47800 con lo scopo di procurarsi un server proxy.


Contatta il server:
Tutti i seguenti:
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Nome del computer
    • File LOG creati
    • Indirizzo IP
    • Informazioni sulla rete
    • Porta aperta
    • Informazioni sui processi in corso
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte


Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Inizia keylog

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico

– Le password dai seguenti programmi:
   • Outlook
   • Far
   • The Bat
   • WinCmd
   • Edialer

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW

Descrizione inserita da Andrei Gherman su venerdì 7 aprile 2006
Descrizione aggiornata da Andrei Gherman su venerdì 7 aprile 2006

Indietro . . . .