Nume:TR/Dldr.Agent.dne
Descoperit pe data de:21/09/2007
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:7.168 Bytes
MD5:119907ad8248b2e06461d782ea93c00B
Versiune IVDF:6.39.01.161 - venerdì 21 settembre 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Trojan-Downloader.Win32.Agent.dne
   •  Sophos: Troj/DwnLdr-GXX
   •  Grisoft: Downloader.Agent.STQ


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarelor chei in registri:

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}]
   • @ = H

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\InprocServer32]
   • @ = %dll malware%
   • ThreadingModel = Apartment

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\ProgID]
   • @ = H.1

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\TypeLib]
   • @ = {71FC19DC-CEEC-45dc-B303-A85633166864}"

 Backdoor Servere contactate:
Urmatoarele:
   • http://**********oso.com/newuser.php
   • http://**********oso.com/comm.php

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.
Raspunsul serverului este scris in fisierul: %SYSDIR%\comm.xml


Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Andrei Gherman su lunedì 24 settembre 2007
Descrizione aggiornata da Andrei Gherman su lunedì 24 settembre 2007

Indietro . . . .