Nome del virus:TR/Dldr.Agent.dne
Scoperto:21/09/2007
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:7.168 Byte
Somma di controllo MD5:119907ad8248b2e06461d782ea93c00B
Versione IVDF:6.39.01.161 - venerdì 21 settembre 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  F-Secure: Trojan-Downloader.Win32.Agent.dne
   •  Sophos: Troj/DwnLdr-GXX
   •  Grisoft: Downloader.Agent.STQ


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 Registro Registra un “browser helper object” (BHO) aggiungendo le seguenti chiavi:

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}]
   • @ = H

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\InprocServer32]
   • @ = %dll del malware%
   • ThreadingModel = Apartment

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\ProgID]
   • @ = H.1

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\TypeLib]
   • @ = {71FC19DC-CEEC-45dc-B303-A85633166864}"

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://**********oso.com/newuser.php
   • http://**********oso.com/comm.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.
La risposta dei server è scritta nel file: %SYSDIR%\comm.xml


Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file
    • Eseguire file

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su lunedì 24 settembre 2007
Descrizione aggiornata da Andrei Gherman su lunedì 24 settembre 2007

Indietro . . . .