English
Deutsch
Francais
Español
Italian
Home
Minacce
TR/Agent.JH.1
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/Agent.JH.1 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Agent.JH.1
Scoperto:
28/09/2005
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
103.447 Byte
Somma di controllo MD5:
28b891a152e6c9430f5ad2023b3694e1
Versione VDF:
6.32.0.46
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Symantec: Backdoor.Dagonit
• VirusBuster: Trojan.Agent.GT
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica file “maligni”
• Modifica del registro
• Accesso e controllo del computer da parte di terzi
File
Cancella i seguenti file:
•
%SYSDIR%
\dllcache\winlogon.exe
•
%SYSDIR%
\dllcache\termsrv.dll
•
%SYSDIR%
\dllcache\mstscax.dll
Vengono creati i seguenti file:
–
%SYSDIR%
\wpap.exe
–
%SYSDIR%
\dalia2.exe
–
%SYSDIR%
\winspool.exe Riconosciuto come: TR/Agent.JH.2
–
%SYSDIR%
\dali.reg Questo file funge da flag per una procedura interna.
–
%SYSDIR%
\system.bat Questo file automatico è utilizzato per cancellare un file. Riconosciuto come: TR/Agent.JH.3
Registro
Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR]
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR\0000]
• "Service"="TlntSvr"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Telnet"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR\0000\
Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="TlntSvr"
– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Enum]
• "0"="Root\\LEGACY_TLNTSVR\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP]
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP\0000]
• "Service"="NtLmSsp"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="NT LM Security Support Provider"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP\0000\
Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="NtLmSsp"
– [HKLM\SYSTEM\CurrentControlSet\Services\NtLmSsp\Enum]
• "0"="Root\\LEGACY_NTLMSSP\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF\0000\Control]
• "ActiveService"="NPF"
– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
• "Start"=dword:00000002
– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
• "Start"=dword:00000002
– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
• "Start"=dword:00000002
– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver]
• "Start"=dword:00000002
Viene cambiata la seguente chiave di registro:
– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
Valore precedente:
• @=
%impostazioni definite dell'utente%
Nuovo valore:
• @=dword:0000000c
Backdoor
Viene aperta la seguente porta:
– tlntsvr.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.
Capacità di controllo remoto:
• Aprire condivisione remota
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• MEW 11
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Catalin Jora il Wed, 28 Sep 2005 16:29 (GMT+1)
Descrizione aggiornata da Catalin Jora il Mon, 10 Oct 2005 08:59 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Bagle.FJ
Worm/Mytob.AD
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.AP
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
© 2009 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce TR/Agent.JH.1
Stampa questa pagina
