TR/Spy.Agent.abu.DLL - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Agent.abu.DLL
Scoperto:	01/03/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	488.448 Byte
Somma di controllo MD5:	a947ca12c03c3bf3501656065615f114
Versione VDF:	6.33.01.41

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Sophos: Troj/Raser-Z

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\MediaPlayer\Preferences\msld]
• "ss1"="%stringa di caratteri casuale%"

– [HKCU\Software\Microsoft\MovieMaker\RecordSettings\CaptureSet]
• "Set"=%valori esadecimali%

Email Contiene un motore SMTP integrato per inviare spam. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi recuperati da internet.

Oggetto:
Il seguente:
• %recuperato da internet%

Corpo dell'email:
– Contiene codice HTML.

Il corpo dell’email è come il seguente:
• %recuperato da internet%

L’email si presenta come di seguito:

Invio di messaggi Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza la seguente stringa:
   • %stringa di caratteri casuale%

Il dominio è uno dei seguenti:
   • 163.net; 168city.com; 263.net; 2trom.com; 326.cc; aaronkwok.net;
      achivesoftware.net; acuario.com; aguascalientes.com; alacarta.com;
      albur.com; alcoholicosanonimos.com; alemail.com; alit-syuhada.net;
      allsaintsfan.com; aloisius.com; alphaaqua.com; altacocina.com;
      ammacash.com; amrer.net; amuro.net; amuromail.com; andylau.net;
      antronomia.com; anuncia.com; aol.com; ardiente.com;
      arizonahuntingguide.com; arkansas.net; armandine.com;
      artesmarciales.com; asistencia.org; athenachu.net; atlanta.com;
      audiohack.com; backstreetboysclub.com; badtzmail.com;
      barriolatino.com; belice.com; billonario.com; bkkmail.com;
      boardermail.com; boyzoneclub.com; britneyclub.com; buenhumor.com;
      buildhosting.com; busquedas.com; callwebcenter.com; capitalino.com;
      cartonista.com; celineclub.com; check1check.com; chido.com;
      chihuahua.com; chocofan.com; cienciaficcion.com; cinemexicano.com;
      coahuila.com; cocolee.net; codserver.com; colima.com;
      comidamexicana.com; compuserve.com; correo1.com; costarrica.com;
      crewstart.com; crosxshell.ws; cs.com; cuernavaca.com; dbzmail.com;
      depelicula.com; deportista.com; derechoshumanos.com; dogmail.org;
      earthlink.net; edomex.com; e-hkma.com; ejecutivo.com; elchavo.com;
      erols.com; eshopvn.org; ethailand.com; ezagenda.com; fannclub.com;
      fastermail.com; ferizajichat.net; fiestabrava.com; filantropia.com;
      finklfan.com; flytecrew.com; freeproblem.com; fumador.com;
      futbolamericano.com; futbolsoccer.com; garzagarcia.com; geocities.com;
      gmx.de; gobiernofederal.com; grandesligas.com; grungecafe.com;
      guadalupano.com; guanajuato.com; gundamfan.com; heesun.net;
      horafeliz.com; hot.ee; hotmail.com; hsuchi.net; ilusionista.com;
      indiya.com; infantil.com; islasmarias.com; jawahar2003.com;
      jerusalen.com; jojomail.com; jpopmail.com; juno.com; kamarbarik.com;
      kamenica.org; kellychen.com; kepala.info; kichimail.com;
      kinki-kids.com; kunmail.com; kyokofukada.net; lapalabra.com;
      leehom.net; lenalex.com; leonlai.net; libero.it; likino.com;
      lissamail.com; lopezclub.com; louiskoo.com; lovecat.com; lujuria.com;
      m3xico.com; madhuri.com; mail.com; malaysia.net; marsnetgroup.org;
      mashoor.net; mcdull.net; mcimail.com; mejico.com; mekong-malaria.org;
      melodymail.com; mexxxico.com; michoacan.com; miho-nakayama.com;
      mindspring.com; morelos.com; movemail.com; mozartmail.com; msn.com;
      mundoanimal.com; mycounterstrike.com; nayarit.com; nctta.org;
      nicholastse.net; nicolastse.com; norika-fujiwara.com; norikomail.com;
      notimexico.com; ns.sympatico.ca; nuevoleon.com; odorstripper.com;
      oficinadecorreo.com; osopanda.com; otakumail.com; pacbell.net;
      pacific.net.hk; pastandpresents-gifts.com; pcmail.com.tw;
      pekklemail.com; picanteperosabroso.com; politickin.com; pormexico.com;
      portugalnet.com; postaldigital.com; programador.com; puebla.com;
      puertorrico.com; purinmail.com; qdice.com; queretaro.com;
      quintanaroo.com; radioactivo.com; radiomexico.com; ranmamail.com;
      rdominicana.com; regiomontano.com; rickymail.com; rotario.com;
      roxette.org; saladeprensa.com; sammail.com; sammimail.com;
      sanluis.com; server.com; server.net; sesmail.com; sexxxo.com;
      shaniastuff.com; singapore.net; skim.com; slamdunkfan.com;
      smapxsmap.net; softhome.net; southparkmail.com; superdirectorio.com;
      supersonicos.com; surfeador.com; surfy.net; surrealismo.com;
      takuyakimura.com; tamaulipas.com; tamil.com; tegucigalpa.com;
      tenchiclub.com; tepasasdeveras.com; tlaxcala.com; tlcfan.com;
      t-online.de; tuxtla.com; u2club.com; ultrapostman.com; universo.com;
      usa.net; ustedopina.com; uymail.com; vanhoanghethuat.com;
      veracruz-llave.com; vivianhsu.net; webtv.net; wongfaye.com;
      worldnet.att.net; yahoo.com; yyhmail.com; zapopan.com; zhaowei.net;
      zipolite.com; zzn.com

Raccolta di indirizzi:
Recupera gli indirizzi contattando il seguente sito web:
   • www.derklai**********

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • %recuperato da internet%
   • monkeys.com
   • spamcop.net
   • dsbl.org
   • five-ten-sg.com
   • postmaster@usa.net
   • spamhaus.org
   • www.mail-abuse.com
   • sorbs.net
   • blitzed.org/proxy

Backdoor Viene aperta la seguente porta:

– winlogon.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.

Contatta il server:
Tutti i seguenti:
   • www.derklaif.biz/**********
   • www.yangrstv.biz/**********
   • http://jupitersatellites.biz/newbot87/**********
   • http://jupitersatellites.biz/newbot87/**********
   • http://jupitersatellites.biz/newbot87/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Invia informazioni riguardanti:
    • Indirizzo IP
    • Stato corrente del malware
    • Porta aperta
    • ID della piattaforma

Capacità di controllo remoto:
    • Riferito allo spam

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Thu, 02 Mar 2006 13:05 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Thu, 09 Mar 2006 15:37 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro