Nome del virus:TR/Agent.bah
Scoperto:12/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:2.836.992 Byte
Somma di controllo MD5:c9990e25bf40674a2fefe09fbb931b5a
Versione VDF:6.35.00.154
Versione IVDF:6.35.00.193 - giovedì 20 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\drivers\oreans32.sys
%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Pakes.A.687

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Pakes.A.688

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log Questo file contiene le battute di tastiera recuperate.
%WINDIR%\uninstal.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Contatta il server:
Il seguente:
   • nightscorpio.kmip.**********:8989

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione.

Invia informazioni riguardanti:
    • Nome del computer
    • Tipo di connessione a internet
    • Indirizzo IP
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Lanciare un attacco DdoS SYN
    • Disattivare le condivisioni di rete
    • Attivare le condivisioni di rete
    • Inizia keylog

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: MSMDG08O.dll

    Nome del processo:
   • iexplore.exe



–  Inserisce il seguente file in un processo: MSMDG08Okey.DLL

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su lunedì 4 settembre 2006
Descrizione aggiornata da Adriana Popa su martedì 12 settembre 2006

Indietro . . . .