Nome del virus:TR/Agent.PK.12
Scoperto:28/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:152.576 Byte
Somma di controllo MD5:07c5676f2679af4a221b943e012daa2a
Versione VDF:6.35.01.17 - venerdì 28 luglio 2006
Versione IVDF:6.35.01.17 - venerdì 28 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Modifica del registro

 File Prova a scaricare un file:

– La posizione è la seguente:
   • 208.66.195.**********:2234
Viene salvato in locale sotto: %TEMPDIR%\%molte cifre casuali%\2234.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

 Registro Il valore della seguente chiave di registro viene rimosso:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"



Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%directory di esecuzione del malware%\%file eseguiti%"



Vengono aggiunte le seguenti chiavi di registro:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com




L'host del file modificato sarà del tipo:


 Backdoor Contatta il server:
Il seguente:
   • 208.66.195.**********:2234

Come risultato può inviare alcune informazioni. La risposta dei server è scritta nel file: %APPDATA%\Microsoft\2234.dat


Invia informazioni riguardanti:
    • Informazioni sul sistema operativo Windows

 Varie  Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net


Mutex:
Crea il seguente Mutex:
   • hs5pdllv42234

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Marius T. Nicolae su martedì 8 agosto 2006
Descrizione aggiornata da Marius T. Nicolae su giovedì 17 agosto 2006

Indietro . . . .