Nome del virus:TR/Agent.VG.8
Scoperto:06/10/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:18.432 Byte
Somma di controllo MD5:b00760a27528fe13c8750497f3be2b91
Versione VDF:6.36.00.80
Versione IVDF:6.36.00.96 - giovedì 12 ottobre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-CVT
   •  Kaspersky: Trojan.Win32.Agent.aae
   •  F-Secure: Trojan.Win32.Agent.aae
   •  VirusBuster: Trojan.Agent.EPL
   •  Bitdefender: Trojan.Agent.YN


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\win%stringa di caratteri casuale%32.dll



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\wineak32.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova ad eseguire il seguente file:

– Nome del file:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
utilizzando i seguenti parametri: -embedding

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%stringa di caratteri casuale%32]
   • "Asynchronous"=dword:00000001
   • "DllName"="win%stringa di caratteri casuale%32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="EvtStartup"
   • "Shutdown"="EvtShutdown"

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • "Data"=dword:01c2a630
   • "LSTV"=%valori esadecimali%
   • "Brnd"=dword:0000030b
   • "Rid"=dword:000000cd
   • "LID"=dword:0000003a
   • "SCLIST"=%valori esadecimali%
   • "SSLIST"=%valori esadecimali%

 Backdoor Contatta il server:
Tutti i seguenti:
   • here4search.biz/img/**********
   • smart-security.biz/img/**********
   • l.mezzicodec.net/a412/**********
   • dr.mcboo.com/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware
    • Uptime del malware


Capacità di controllo remoto:
    • Download di file
    • Eseguire file

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su lunedì 13 novembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 13 novembre 2006

Indietro . . . .