Nome del virus:TR/Click.Agent.AC
Scoperto:17/01/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:90.112 Byte
Somma di controllo MD5:807ec8a8b8e28b11258ff2782f1f91be
Versione VDF:6.29.00.64

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.ac
   •  TrendMicro: TROJ_CLICKER.EQ
   •  Bitdefender: Trojan.Clicker.Agent.GQ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Viene creato il seguente file:

%SYSDIR%\ansi.cfg

 Registro I valori della seguente chiave di registro vengono rimossi:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • SystemChecÂwk
   • SystemChecÂwk1



Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– HKCR\CLSID\{54645654-2225-4455-44A1-9F4543D34546}\InProcServer32
   • (Default) = "%SYSDIR%\vbsys2.dll"



Vengono aggiunte le seguenti chiavi di registro:

– HKCR\CLSID\{54645654-2225-4455-44A1-9F4543D34546}
   • (Default) = "System Check Application"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • SystemCheck2 = "{54645654-2225-4455-44A1-9F4543D34546}"

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www7.logih.com/777/**********
   • http://540.filost.com/randomsites/**********

Come risultato viene fornita la capacità di controllare da remoto.

Capacità di controllo remoto:
    • Visitare un sito web

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Marius T. Nicolae su martedì 12 settembre 2006
Descrizione aggiornata da Marius T. Nicolae su mercoledì 13 settembre 2006

Indietro . . . .