Nome del virus:TR/Dldr.Agent.awg.4
Scoperto:10/10/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:35.328 Byte
Somma di controllo MD5:cd0B92cc20d1cd6b308077431bc1f8cd
Versione VDF:6.36.00.87
Versione IVDF:6.36.00.103 - venerdì 13 ottobre 2006

 Generale Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.awg
   •  Sophos: Troj/CarLoad-B
   •  Bitdefender: Trojan.Downloader.Agent.AOV


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Viene creato il seguente file:

%SYSDIR%\srvc.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Agent.awg.4




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://bebbedaacfefbde.com/b/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– La posizione è la seguente:
   • %URL dal file scaricato%
Viene salvato in locale sotto: %TEMPDIR%\%stringa di caratteri casuale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   WLogon
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "StartShell"="Entry"
   • "DllName"="srvc.dll"

 Backdoor Contatta il server:
Il seguente:
   • http://bebbedaacfefbde.com/b/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Nome del computer

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\srvc.dll

    Nome del processo:
   • %WINDIR%\Explorer.EXE

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://microsoft.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Bogdan Iliuta su venerdì 10 novembre 2006
Descrizione aggiornata da Bogdan Iliuta su lunedì 20 novembre 2006

Indietro . . . .