Descrizione completa

Nome del virus:	TR/Drop.Agent.avam
Scoperto:	26/10/2009
Tipo:	Trojan
Sottotipo:	Dropper
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	745.472 Byte
Somma di controllo MD5:	0C59eadc2628f66819ee0F76f5eeb910
Versione IVDF:	7.01.04.220 - sabato 11 luglio 2009

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan.Win32.Obfuscated.whl
   • Sophos: W32/IRCBot-ADJ
   • Panda: Bck/Mircbased.BT
   • Eset: IRC/Cloner.BX trojan
   • Bitdefender: Trojan.AgentMB.ITGL3168337

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\ WINWORD.EXE
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe
   • %Start Menu%\Programs\Startup\Adobe Gamma Loader.com

Crea la seguente directory:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11

Vengono creati i seguenti file:

– %PROGRAM FILES%\Microsoft Office\OFFICE11\Drvics32.dll Contiene parametri utilizzati dal malware.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\hjwgsd.dll Contiene parametri utilizzati dal malware.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\jwiegh.dll Contiene parametri utilizzati dal malware.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\remote.ini Contiene parametri utilizzati dal malware.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\ruimsbbe.dll Contiene parametri utilizzati dal malware.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\control.ini Contiene parametri utilizzati dal malware.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\PUB60SP.mrc Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/IrcBot.7385.A

– %PROGRAM FILES%\Microsoft Office\OFFICE11\yofc.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: IRC/Zapchast.YF

– %PROGRAM FILES%\Microsoft Office\OFFICE11\smss.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.576628.2

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe"

I valori della seguente chiave di registro vengono rimossi:

– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   %all registry keys%]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   %all registry keys%]

Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\exefile]
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SMSSS.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\lsasc.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\BabyRina.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:00000000

Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "ShowSuperHidden"="0x0"
   • "SuperHidden"="0x0"

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuovo valore:
   • "CheckedValue"=dword:00000000
   • "UncheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Nuovo valore:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Nuovo valore:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuovo valore:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   Nuovo valore:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: irc.dal.net
Porta: 6667
Nickname: Gold_girXls

Varie Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • www.tourism.gov.my
   • www.miti.gov.my
   • www.putera.com

Tecnologia Rootkit Nasconde il seguente:
– I propri file

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Raluca Georgescu su lunedì 26 ottobre 2009
Descrizione aggiornata da Andrei Ivanes su martedì 27 ottobre 2009

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti