Nome del virus:TR/Click.Agent.HF
Scoperto:20/09/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:155.648 Byte
Somma di controllo MD5:fc59165dec86b8cf17e1151029200D26
Versione VDF:6.35.01.115
Versione IVDF:6.35.01.116 - lunedì 21 agosto 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.hf
   •  Bitdefender: Trojan.Clicker.Agent.HB


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Modifica del registro

 File  Cancella i seguenti file:
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.gif
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.xml
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.js
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.css
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.cab
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.jsp
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.htm




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.baidu.com/**********
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%directory scelta casualmente%\s.htm

– La posizione è la seguente:
   • http://www.baidu.com/img/**********
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%directory scelta casualmente%\logo-yy.gif

 Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • "W2KLpk"=dword:00000001

 Backdoor Contatta il server:
Il seguente:
   • http://lilainet.vicp.net/001/**********

Una volta connesso recupera una lista di server supplementare.
Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • Stato corrente del malware

 Varie Mutex:
Crea il seguente Mutex:
   • InternetClick

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Monica Ghitun su mercoledì 20 settembre 2006
Descrizione aggiornata da Andrei Ivanes su mercoledì 18 ottobre 2006

Indietro . . . .