Nume:TR/Agent.bah
Descoperit pe data de:12/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:2.836.992 Bytes
MD5:c9990e25bf40674a2fefe09fbb931b5a
Versiune VDF:6.35.00.154
Versiune IVDF:6.35.00.193 - giovedì 20 luglio 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\drivers\oreans32.sys
– %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Pakes.A.687

– %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Pakes.A.688

– %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log Acest fisier stocheaza datele introduse de utilizator la tastatura.
– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Servere contactate:
Urmatorul:
   • nightscorpio.kmip.**********:8989

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic.

Trimte informatii despre:
    • Numele sistemului
    • Tipul conexiunii la Internet
    • Adresa IP
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • Lanseaza atacuri DDoS SYN
    • dezactivarea partajarii de resurse in retea
    • activarea partajarii de resurse in retea
    • Porneste keylog

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: MSMDG08O.dll

    Numele procesului:
   • iexplore.exe



–  Injecteaza fisierul urmator intr-un proces: MSMDG08Okey.DLL

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Adriana Popa su lunedì 4 settembre 2006
Descrizione aggiornata da Adriana Popa su martedì 12 settembre 2006

Indietro . . . .