Nome del virus:TR/Dldr.Agent.gcx
Scoperto:24/10/2008
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Alto
Potenziale di danni:Alto
File statico:No
Dimensione del file:~ 360.000 Byte
Versione IVDF:7.00.07.81 - venerdì 24 ottobre 2008

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Clona un file “maligno”
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

%SYSDIR%\wbem\sysmgr.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Agent.gcx

%TEMPDIR%\%stringa casuale di otto caratteri%.bat Questo file automatico è utilizzato per cancellare un file.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%dll del malware%
   • "ServiceMain"="ServiceMainFunc"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valori esadecimali%

 Backdoor Contatta il server:
Uno dei seguenti:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

Come risultato può inviare alcune informazioni. Inoltre periodicamente ripete la connessione. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Aggiunge o rimuove una lista di programmi
    • Nome del computer
    • Informazioni sulla rete
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Nome Utente
    • Informazioni sul sistema operativo Windows

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Thomas Wegele su venerdì 24 ottobre 2008
Descrizione aggiornata da Alexander Vukcevic su venerdì 24 ottobre 2008

Indietro . . . .