Nome del virus:TR/Agent.AKB.2
Scoperto:18/10/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:646.419 Byte
Somma di controllo MD5:1c3569b0b1a18f7d627e7a75d83e473b
Versione VDF:6.36.00.127
Versione IVDF:6.36.00.144 - venerdì 20 ottobre 2006

 Generale Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Disattiva le applicazioni di sicurezza
   • Duplica un file
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\svchost.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\MSWINSCK.OCX

%WINDIR%\offlog.txt Questo file contiene le battute di tastiera recuperate.

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



Viene cambiata la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Valore precedente:
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Processi terminati  I seguenti servizi vengono disattivati:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Backdoor Contatta il server:
Il seguente:
   • exclusive72.no-ip.**********:1338

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Cattura:
    • Battute di tastiera

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Bogdan Iliuta su lunedì 30 ottobre 2006
Descrizione aggiornata da Bogdan Iliuta su mercoledì 15 novembre 2006

Indietro . . . .