TR/Click.Agent.HF - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Click.Agent.HF
Scoperto:	20/09/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	155.648 Byte
Somma di controllo MD5:	fc59165dec86b8cf17e1151029200D26
Versione VDF:	6.35.01.115
Versione IVDF:	6.35.01.116

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Clicker.Win32.Agent.hf
   • Bitdefender: Trojan.Clicker.Agent.HB

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file
   • Modifica del registro

File Cancella i seguenti file:
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.gif
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.xml
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.js
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.css
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.cab
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.jsp
   • %temporary internet files%\Content.IE5\%tutte le directory%\*.htm

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.baidu.com/**********
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%directory scelta casualmente%\s.htm

– La posizione è la seguente:
   • http://www.baidu.com/img/**********
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%directory scelta casualmente%\logo-yy.gif

Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Internet Explorer\International]
• "W2KLpk"=dword:00000001

Backdoor Contatta il server:
Il seguente:
• http://lilainet.vicp.net/001/**********

Una volta connesso recupera una lista di server supplementare.
Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
• Stato corrente del malware

Varie Mutex:
Crea il seguente Mutex:
• InternetClick

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Monica Ghitun il Wed, 20 Sep 2006 16:53 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Wed, 18 Oct 2006 12:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro