Nome del virus:TR/Agent.YU.2
Scoperto:12/09/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:137.216 Byte
Somma di controllo MD5:c6dad9eb2cf8de75a481122094b303e3
Versione VDF:6.35.01.215
Versione IVDF:6.35.01.219 - mercoledì 13 settembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan.Win32.Agent.yu
   •  TrendMicro: TROJ_AGENT.ETQ
   •  F-Secure: Trojan.Win32.Agent.yu
   •  Eset: Win32/Agent.YU


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe
   • %WINDIR%\WinSxS\Manifests\SMSS.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ALG"="%WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe"
   • "SERVICES"="%WINDIR%\WinSxS\Manifests\SMSS.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Obsidium]


Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Valore precedente:
   • "NoStartMenuMFUprogramsList"=%impostazioni definite dell'utente%
   • "NoStartMenuPinnedList"=%impostazioni definite dell'utente%
   • "NoStartMenuSubFolders"=%impostazioni definite dell'utente%
   • "NoCommonGroups"=%impostazioni definite dell'utente%
   • "NoSMMyPictures"=%impostazioni definite dell'utente%
   • "NoStartMenuMyMusic"=%impostazioni definite dell'utente%
   • "NoSMMyDocs"=%impostazioni definite dell'utente%
   • "NoDesktop"=%impostazioni definite dell'utente%
   • "NoActiveDesktop"=%impostazioni definite dell'utente%
   • "NoViewOnDrive"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   Valore precedente:
   • "NoViewContextMenu"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Start_ShowRun"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Valore precedente:
   • "NoViewContextMenu"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoViewContextMenu"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Start_ShowRun"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • "NoStartMenuPinnedList"=%impostazioni definite dell'utente%
   • "NoStartMenuMFUprogramsList"=%impostazioni definite dell'utente%
   • "NoStartMenuSubFolders"=%impostazioni definite dell'utente%
   • "NoCommonGroups"=%impostazioni definite dell'utente%
   • "NoSMMyPictures"=%impostazioni definite dell'utente%
   • "NoStartMenuMyMusic"=%impostazioni definite dell'utente%
   • "NoSMMyDocs"=%impostazioni definite dell'utente%
   • "NoDesktop"=%impostazioni definite dell'utente%
   • "NoActiveDesktop"=%impostazioni definite dell'utente%
   • "NoViewOnDrive"=%impostazioni definite dell'utente%
   • "NoControlPanel"=%impostazioni definite dell'utente%
   • "NoDrives"=%impostazioni definite dell'utente%
   • "NoRun"=%impostazioni definite dell'utente%
   • "NoFind"=%impostazioni definite dell'utente%
   • "NoFavoritesMenu"=%impostazioni definite dell'utente%
   • "NoRecentDocsMenu"=%impostazioni definite dell'utente%
   • "NoLogOff"=%impostazioni definite dell'utente%
   • "NoClose"=%impostazioni definite dell'utente%
   • "NoSaveSettings"=%impostazioni definite dell'utente%
   • "NoUserNameInStartMenu"=%impostazioni definite dell'utente%
   • "NoToolbarCustomize"=%impostazioni definite dell'utente%
   • "NoThemesTab"=%impostazioni definite dell'utente%
   • "NoSMHelp"=%impostazioni definite dell'utente%
   • "NoPrinterTabs"=%impostazioni definite dell'utente%
   • "NoPrinters"=%impostazioni definite dell'utente%
   • "NoNetHood"=%impostazioni definite dell'utente%
   • "NoManageMyComputerVerb"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Pagina iniziale di Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Start Page"=%impostazioni definite dell'utente%
   • "Window title"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Start Page"=%impostazioni definite dell'utente%
   • "Window title"=%impostazioni definite dell'utente%
   • "NoControlPanel"=%impostazioni definite dell'utente%
   • "NoDrives"=%impostazioni definite dell'utente%
   • "NoRun"=%impostazioni definite dell'utente%
   • "NoFind"=%impostazioni definite dell'utente%
   • "NoFavoritesMenu"=%impostazioni definite dell'utente%
   • "NoRecentDocsMenu"=%impostazioni definite dell'utente%
   • "NoLogOff"=%impostazioni definite dell'utente%
   • "NoClose"=%impostazioni definite dell'utente%
   • "NoSaveSettings"=%impostazioni definite dell'utente%
   • "NoUserNameInStartMenu"=%impostazioni definite dell'utente%
   • "NoToolbarCustomize"=%impostazioni definite dell'utente%
   • "NoThemesTab"=%impostazioni definite dell'utente%
   • "NoSMHelp"=%impostazioni definite dell'utente%
   • "NoPrinterTabs"=%impostazioni definite dell'utente%
   • "NoPrinters"=%impostazioni definite dell'utente%
   • "NoNetHood"=%impostazioni definite dell'utente%
   • "NoManageMyComputerVerb"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Disattiva il Regedit e il Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Valore precedente:
   • "DisableTaskMgr"=%impostazioni definite dell'utente%
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableTaskMgr"=%impostazioni definite dell'utente%
   • "NoDispCPL"=%impostazioni definite dell'utente%
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   Valore precedente:
   • "NoBrowserClose"=%impostazioni definite dell'utente%
   • "NoNavButtons"=%impostazioni definite dell'utente%
   • "NoSelectDownloadDir"=%impostazioni definite dell'utente%
   • "NoBrowserContextMenu"=%impostazioni definite dell'utente%
   • "NoBrowserOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

Formato ora:
– [HKCU\Control Panel\International]
   Valore precedente:
   • "sTimeFormat"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "sTimeFormat"="ÁËßÄÜ"

– [HKCU\Control Panel\Desktop]
   Valore precedente:
   • "MenuShowDelay"=%impostazioni definite dell'utente%
   • "WallpaperOriginX"=%impostazioni definite dell'utente%
   • "WallpaperOriginY"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "MenuShowDelay"="9999"
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Nuovo valore:
   • "DiskSpaceThreshold"=dword:00000099

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "LegalNoticeCaption"=%impostazioni definite dell'utente%
   • "LegalNoticeText"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   Valore precedente:
   • "LegalNoticeCaption"=%impostazioni definite dell'utente%
   • "LegalNoticeText"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Valore precedente:
   • "DisableSR"=%impostazioni definite dell'utente%
   • "RPLifeInterval"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableSR"=dword:00000001
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   Valore precedente:
   • "NoAddRemovePrograms"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Valore precedente:
   • "NoAddRemovePrograms"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoAddRemovePrograms"=dword:00000001

 Processi terminati  I seguenti servizi vengono disattivati:
   • System Restore
   • Task Manager

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su venerdì 27 ottobre 2006
Descrizione aggiornata da Adriana Popa su lunedì 30 ottobre 2006

Indietro . . . .