TR/Spy.ProAg.21.3.A - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.ProAg.21.3.A
Scoperto:	19/09/2005
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	246.349 Byte
Somma di controllo MD5:	85fa8947452cfcc3da30d54f888fbf10
Versione VDF:	6.32.00.16

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Spy.Win32.ProAgent.21
   • Sophos: Troj/Progent-P
   • Grisoft: PSW.Agent.NR
   • VirusBuster: trojan TrojanSpy.ProAgent.I
   • Bitdefender: Trojan.Spy.Proagent.21

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
   • %WINDIR%\qservice.exe

Sovrascrive un file.
– %SYSDIR%\drivers\symredrv.sys

Con i seguenti contenuti:
   • No more Mail Scanning =)
     Powered by ProAgent

Vengono creati i seguenti file:

– File “non maligno”:
   • %TEMPDIR%\htmpl.htm

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

– %SYSDIR%\drivers\KeenSense.sys Questo è un file di testo “non maligno” con il seguente contenuto:
   • Hi criminal =)

– %SYSDIR%\drivers\ksdevice.sys Questo è un file di testo “non maligno” con il seguente contenuto:
   • Hi criminal =)

– %WINDIR%\kurlmon.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.ProAgent.21.1

– %WINDIR%\services.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.ProAgent.21.2

– %SYSDIR%\HookApi.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.ProAgent.21

– %WINDIR%\k_urlmon.dll Questo file contiene le battute di tastiera recuperate.

Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"

Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%numero esadecimale%
   • "pPid" = dword:%numero esadecimale%

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
Il mittente della mail è il seguente:
   • "ProAgent v2.1.0"

A:
Il destinatario dell'email è il seguente:
   • maturpejos@yahoo.com

Oggetto:
Il seguente:
   • %nome del computer% is Online

Corpo dell'email:
Il corpo dell’email è come il seguente:
   • %informazioni sottratte%

Processi terminati I seguenti servizi vengono disattivati:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID
– Le password inserite nei campi di input password
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le seguenti chiavi CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Le password dai seguenti programmi:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: kurlmon.dll

    Nome del processo:
   • explorer.exe

– Inserisce il seguente file in un processo: HookApi.dll

    Nome del processo:
   • explorer.exe

– Inserisce il seguente file in un processo: services.dll

    Nome del processo:
   • iexplore.exe

Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • ege.edu.tr
   • ankara.edu.tr

Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.aol.com

Stringa:
In più contiene la seguente stringa:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Nasconde il seguente:
– I propri file
– I propri processi
– Le proprie chiavi di registro

– Il seguente file:
• msehk.dll

– File che contengono la seguente sottostringa nei loro nomi file:
• wins32

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Tue, 11 Apr 2006 16:10 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Wed, 12 Apr 2006 08:23 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro